Comments 2
Хороший классический пример IDOR с очень серьёзными последствиями. Казалось бы, "забыли пароль" - обычная фича, а тут целый дырявый люк для взлома аккаунтов. Особенно примечательно, что токен сброса не сгорает после использования - почти как дать ключ от квартиры и забыть его заблокировать
Отдельно стоит отметить, что даже без официальной программы bb автору удалось эффективно взаимодействовать с командой безопасности - оперативно, прозрачно и с взаимным уважением, как и должно быть
Проблема рассмотрена и признана критической.
Выплачена награда 65 USD
=(((
Sign up to leave a comment.
Нарушение контроля доступа (IDOR) в функционале «Забыли пароль» позволяет атакующему менять пароли всех пользователей