- Автор темы
- #1
Сегодня я вам покажу одну уязвимость вконтакте, которая позволяет просматривать приватную информацию пользователей. В этот раз речь пойдет о графе "Документы". В данной графе есть поисковая строка, по идее она должна давать ответы лишь на те документы, которые вы ранее добавляли. Но вместо этого она делает массовый поиск среди всех пользователей, и выдает все документы, которые загружали люди. Помимо этого можно узнать автора документы, обратив свой взгляд на адресную строку, первый ряд чисел и есть ID пользователя.
Шутки ради я написал в поиск "Навальный"
и наткнулся на новый документ от 5 января 2018, где собран план действий на 2018 год, там говорилось о Путине, о власти, о геях, атеистах, oxxxymiron , слава кппс (последние два понятия не имею как относятся к предвыборной гонке), свержение власти, революция, митинги 26 марта, митинги 12 июня и тд.
А вот например слово "забугор"
Понятное дело, что это базы данных
Чтобы узнать автора документа нужно посмотреть на ссылку документа. Подводим курсор к документу и смотрим исходный код.
Чувак с ID - 129440739 и есть автор этого документа
Возможно это шалости, но факт фактом, данный баг в плохих рука может многим навредить, от мошенничества, шантажа, вымогательства, до .. придумайте сами.
Информация предоставлена в ознакомительных целях.
Шутки ради я написал в поиск "Навальный"
и наткнулся на новый документ от 5 января 2018, где собран план действий на 2018 год, там говорилось о Путине, о власти, о геях, атеистах, oxxxymiron , слава кппс (последние два понятия не имею как относятся к предвыборной гонке), свержение власти, революция, митинги 26 марта, митинги 12 июня и тд.
А вот например слово "забугор"
Понятное дело, что это базы данных
Чтобы узнать автора документа нужно посмотреть на ссылку документа. Подводим курсор к документу и смотрим исходный код.
Чувак с ID - 129440739 и есть автор этого документа
Возможно это шалости, но факт фактом, данный баг в плохих рука может многим навредить, от мошенничества, шантажа, вымогательства, до .. придумайте сами.
Информация предоставлена в ознакомительных целях.