[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "disable": true, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "create", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } } ] { "gtm": "GTM-NDH47H" }
{ "author_name": "Вадим Елистратов", "author_type": "self", "tags": [], "comments": 27, "likes": 47, "favorites": 6, "is_advertisement": false, "section": "default" }
29 284
Редактирование закрыто

Программист рассказал о способе получить доступ к странице пользователя «ВКонтакте» после разлогина

Пользователь «Хабрахабра» под ником prohodil_mimo рассказал об обнаруженной им уязвимости во «ВКонтакте», которая позволяет злоумышленнику зайти на страницу пользователя после того, как тот вышел со своей страницы.

Поделиться

В избранное

В избранном

Уязвимость была обнаружена в API, предназначенном для работы с мобильными приложениями, а конкретно — в способе авторизации OAuth. По словам программиста, злоумышленники могут беспрепятственно воспользоваться «куками» пользователя после того, как он вышел со своей страницы. Для доступа к профилю даже не понадобится вводить верный логин или пароль.

Если пользователь залогинен, ему будет сразу предложено установить приложение, если нет — вначале залогиниться, а уже потом устанавливать. Если приложение уже установлено, то идёт сразу переход на страницу, в хэше которой будет токен. Дальше идёт работа с API.

Самое интересное начинается после выхода из «ВКонтакте». Ваше приложение может иметь ссылку на выход вида vk.com/login.php?op=logout. Это стандартная ссылка на выход из VK. Но после выхода пользователя из VK куки остаются рабочими.

Таким образом, если опять показать страницу авторизации, ввести совершенно другой логин и пароль — вы всё равно сможете пользоваться страницей первого пользователя.

prohodil_mimo

Как отметил prohodil_mimo, в самом приложении, подобным образом перехватывающем данные, могут использоваться «самые безобидные» права. Разработчик может не запрашивать доступ к контактам или фото, но всё равно получить возможность открывать как снимки, так и любую другую информацию в профиле.

По словам программиста, в поддержке во «ВКонтакте» ему ответили, что «это не баг, а фича, но, возможно, что-то изменится в будущем».

В разговоре с TJ пресс-служба «ВКонтакте» заявила о том, что разработчик допустил ошибку, а уязвимости на самом деле нет.

В публикации на «Хабрахабре» допущена ошибка: vk.com/login.php?op=logout — это не ссылка для выхода из «ВКонтакте». Ссылка логаута для каждого пользователя индивидуальная, это можно проверить, наведя курсором на кнопку «Выход» или скопировав ссылку правой кнопкой мыши на сайте.

Автор публикации действительно мог столкнуться с тем, что ему показывалась форма авторизации при переходе по указанной ссылке — этот баг мы в скором времени закроем. Однако к выходу со страницы это не имеет никакого отношения, и о какой-либо уязвимости здесь речи не идет.

пресс-служба «ВКонтакте»
Спасибо за наводку Дамир Камалетдинов
Популярные материалы
Показать еще
{ "is_needs_advanced_access": true }

Лучшие комментарии

Дискуссии по теме
доступны только владельцам клубного аккаунта

Купить за 75₽
Авторизоваться

Преимущества
клубного аккаунта

  • отсутствие рекламы
  • возможность писать комментарии и статьи
  • общение с членами клуба
Подробнее

Преимущества
клубного аккаунта

  • отсутствие рекламы
  • возможность читать и писать комментарии
  • общение с членами клуба
  • возможность создавать записи

Сколько это стоит?

Членство в клубе стоит всего 75₽ в месяц. Или даже дешевле при оплате за год.

Что такое клуб?

Клуб ТЖ это сообщество единомышленников. Мы любим читать новости, любим писать статьи, любим общаться друг с другом.

Вступить в клуб

Комментарии Комм.

Популярные

По порядку

Прямой эфир

Вы не против подписаться на важные новости от TJ?

Нет, не против