Хороший классический пример IDOR с очень серьёзными последствиями. Казалось бы, "забыли пароль" - обычная фича, а тут целый дырявый люк для взлома аккаунтов. Особенно примечательно, что токен сброса не сгорает после использования - почти как дать ключ от квартиры и забыть его заблокировать
Отдельно стоит отметить, что даже без официальной программы bb автору удалось эффективно взаимодействовать с командой безопасности - оперативно, прозрачно и с взаимным уважением, как и должно быть
Хороший классический пример IDOR с очень серьёзными последствиями. Казалось бы, "забыли пароль" - обычная фича, а тут целый дырявый люк для взлома аккаунтов. Особенно примечательно, что токен сброса не сгорает после использования - почти как дать ключ от квартиры и забыть его заблокировать
Отдельно стоит отметить, что даже без официальной программы bb автору удалось эффективно взаимодействовать с командой безопасности - оперативно, прозрачно и с взаимным уважением, как и должно быть