Вечер добрый.
Дело в том, что недавно начал изучать VK API и нашел узкое место во всей системе, которое, как мне показалось, можно нещадно эксплуатировать для получения контроля над аккаунтом. Даже написал в целях эксперимента "минивирус". Все работает, притом так, по моему скромному мнению, быть не должно.
А теперь, собственно, вопрос: кому написать про уязвимость? Читал на хабре, что саппорт не очень хорошо принимает к сведению, не говоря уж о том, чтобы какие-нибудь поощрительные выплаты проводить, а никакой официальной программы для отчетов о дырах я не нашел (кроме багтрекера API, но его можно не считать). И имеет ли смысл доказывать, что уязвимость имеет место быть, а если имеет, как это сделать? Дело в том, что для ее эксплуатации "минивирусу" нужен единовременный (то есть лишь один раз отработать пару секунд и самовыпилиться) доступ к компьютеру, на котором имеется браузер с сессией вк. Собственно, может ли тогда уязвимость вообще рассматриваться как уязвимость на стороне ВК?
Буду благодарен за ответы и советы.
"По правилам проекта Google, посвященного поиску уязвимостей в популярном программном обеспечении, информация о найденных «дырах» публикуется спустя 90 дней после ее обнаружения и уведомления разработчика — неважно, выпустил он обновление или нет." Кто-то делает так...
Данная уязвимость есть только в ВК, или во всех сайтах? Если только в ВК, то, очевдно, стоит написать.
Среагируют думаю адекватно, только там вроде как 2 саппорта: один для "простолюдинов", другой по техническим вопросам. Вам во второй.
Насчет награды не знаю. Судя по описанию не такая уж и критическая уязвимость - доступ к компу то нужен. Может дадут несколько тысяч голосов. (один голос - ~7 рублей на пополнение и ~3.5р на вывод из ВК)
Естественно, только в вк. Вот именно из-за доступа к компу у меня и сомнения: вроде и нет особых проблем протолкнуть файлик весом в пару килобайт и запустить его в теоретическом плане (другое дело, что заниматься этим совсем не хочется), да и прав никаких для его исполнения не нужно, UAC не помеха... Но все-таки чувствуется, что могут не принять во внимание. Хотя, с другой стороны, штука получилась очень и очень неприятная
Espleth: подсадить можно, вообще без проблем. А вот про узнает... В моей реализации я не старался подчищать следы, так что видно, что что-то произошло. Правда, непосвященному пользователю не будет понятно, что. Но это уже технические детали, которые вполне возможно реализовать
Espleth: да статью я напишу в любом случае, ради этого и старался, по сути. Другое дело, что перед этим стоит пообщаться с саппортом, притом убедить их прикрыть лавочку, иначе как-то неэтично выходит... В любом случае, спасибо за советы =)
Пример: "Если вы мне дадите разовый доступ к вашему PC - то я смогу угнать у вас все cookie файлы, и воспользоваться вашими сессиями." - это не уязвимость конкретного сайта
Damir Makhmutov: сессию вк из куков вы не украдете при всем желании, увы (или я чего-то не знаю). Да, после инвалидации она продолжает работать, во всяком случае, как минимум в течение некоторого времени (сидеть без вк ради эксперимента больше пары часов не очень хочется). Вообще, к сессии она никак не привязана, так что хоть пароли менять можно, хоть почту
Если уязвимость не связана никак с сессией вк - то выглядить это как уязвимость. Не совсем только ясно зачем в таком случае доступ к PC, ну видимо я чего-то не знаю :-)
Damir Makhmutov: да я могу дать, другое дело в том, что вместо сессии из них можно получить кучу другой полезной информации, так что нет, спасибо х) Я знаю, но в силу специфики уязвимости время может влиять (а может и нет, надо потестировать)
Scorpi: я никоим образом не трогаю куки, так как этому могут помешать настройки UAC. Да и ленивый я слишком, разбираться с ними. Я получаю его иным методом, так что, похоже, можно не забывать пока что
Я читал. Проблема в том, что в статье автор пишет, что в саппорте особой реакции не дождался, связался через знакомого (или не очень) человека с разработчиками.
Простой
Средний
Простой
Средний
Простой
