Баг VK: Как деды access token получали

  • На форуме работает ручное одобрение пользователей. Это значит, что, если Ваша причина регистрации не соответствует тематике форума, а также Вы используете временную почту, Ваша учётная запись будет отклонена без возможности повторной регистрации. В дальнейшем - пожизненная блокировка обоих аккаунтов за создание мультиаккаунта.
  • Мы обновили Tor зеркало до v3!
    Для входа используйте следующий url: darkv3nw2...bzad.onion/
  • Мы вновь вернули telegram чат форуму, вступайте, общайтесь, задавайте любые вопросы как администрации, так и пользователям!
    Ссылка: https://t.me/chat_dark_time

lolik228

Участник

lolik228

Участник
2 Фев 2017
448
101
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Баг довольно старый (еще с 2015, и в 2016 тоже жил), но все же решил рассказать о нем, так как по сути, должен остаться рабочим

Утечка access_token и auth_key при подключении iframe-приложениями сторонних js-кодов (счетчиков)

При использовании приложениями сторонних счетчиков посещений (googleanalytics, liveinternet и т.д.) или прочих подключаемых кодов (например qbaka, cdn jquery, картинки со сторонних доменов) в поле "Referer" http-запроса уходят все авторизационные данные передаваемые при первом запросе от VK к iframe-приложению. Это легко реализуется

Пример:
Посмотреть вложение 29071

Как это можно использовать
- сторонние сервисы могут получить данные пользователя в приложении
- сторонние сервисы могут совершать запросы к API VK от имени приложения
 

О нас

  • Наше сообщество существует уже много лет и гордится тем, что предлагает непредвзятое, критическое обсуждение различных тем среди людей разных слоев общества. Мы работаем каждый день, чтобы убедиться, что наше сообщество является одним из лучших.

    Dark-Time 2015 - 2024

    При поддержке: XenForo.Info

Быстрая навигация

Меню пользователя