Comments 3
Проникновение в чужой дом. Думайте нестандартно:
Я подёргал ручку двери. Заперто.
Я подёргал оконную раму. Заперто.
Я глянул под коврик. Под ковриком оказался ключ.
Попробовал ключом открыть дверь. Получилось.
То есть дырявый бекенд.
Ну и что они исправили, если аутентификация основана на передаваемом в запросе userId?
Это ж надо примерно всё переделывать.
Звучит интересно, но что меня немного удивило, это награда в 1000$ без программы Bug&Bounty, по крайней мере о ней тут не было сказано. Может так компании и делают, но выглядит такое письмо немного странно, лично для меня.
И уязвимость хоть и не приятная, но как я это вижу судя по описанию, не критичная. Да, она может сделать неприятно пользователю сменив его пароль, но при этом войти в его аккаунт и украсть его данные (как я понял судя по тексту статьи), или использовать его аккаунт для других нужд нельзя без входа.
и войти, например, в admin@website.com.
Это возможно при условии если админ аккаунт действительно зарегистрирован на эту почту, а не на стороннюю и нет 2FA. Возможно так и было, отсюда и реакция компании, но все равно не покидает чувство что что-то не так.
Полный захват аккаунта стоимостью $1000 — Думайте нестандартно