Комментарии 58
Администрация ВКонтакте выплатила вознаграждение в 10к голосов.Лучше бы бусами расплатились…
Нашедшему уязвимость была предоставлена возможность вывести голоса, например получив деньги на банковскую карту.
Почему не дали деньги сразу? Он за них купил бы голоса, если бы захотел.
Что можно купить на 10к голосов?
Стикеры, подарки… Даже рекламу нельзя ими оплатить.
Можно, только если вы разработчик приложений.
Чтобы стать таковым, нужно быть автором хотя бы одного приложения, прошедшего модерацию.
Чтобы стать таковым, нужно быть автором хотя бы одного приложения, прошедшего модерацию.
Т.е., не 70000 рублей, а всего лишь 35400 рублей.
Веселая ферма! Тюряга!
Открытки всякие и прочую дребедень :)
А вообще да, пожадничали. Гораздо выгодней было бы найти уязвимость в Telegram.
А вообще да, пожадничали. Гораздо выгодней было бы найти уязвимость в Telegram.
В Селектеле можно оплачивать услуги.
Чашку кофе, рюмку сухого вина, бутылку лимонада. Только тебя это не касается, вы с Копытиным здесь останетесь
10к голосов.
Это как-то не честно, понимаю, что их потом можно продать(а можно ли?) за реальные деньги, но всё же.
Не спорю, что проще в базе циферку поменять, чем делать денежные операции.
Но лично мне стало бы обидно.
Да, можно вывести через партнеров, это чистыми выйдет около 30к рубликов:
Парадокс, но даже тут владельцы вк удержат 45% от «премии» :)
Выплата 1 голоса – 3.54 рубля с НДС
Ввод 1 голоса – 6.4 рубля
Парадокс, но даже тут владельцы вк удержат 45% от «премии» :)
Тогда выгоднее искать группы/людей/сообщества где купят хотя бы по цене 70-80% от официальной цены покупки.
Как предлагаете осуществлять сделку?
Если есть возможность передавать голоса, то я ему голоса, он мне на эл. кошелек монетки
В WebMoney с помощью кода протекции вполне безопасно можно провернуть
Администрация ВКонтакте выплатила вознаграждение в 10к голосов.
Экономно!
Ребят, ну нет программы вознаграждения vk.com. Не будут же разработчики свои зарплаты раздавать :)
Мне тут птичка нашептала, что скоро будет полноценная программа bugbounty, тогда уже можно ругаться на малые выплаты.
Мне тут птичка нашептала, что скоро будет полноценная программа bugbounty, тогда уже можно ругаться на малые выплаты.
и видимо зря нет. если подумать, поощрять деньгами добропорядочных пользователей это очень хорошая идея. иной призадумается «а стоит ли мне сообщать об уязвимости или же лучше использовать её в личных целях?», посмотрит на то что вконтакте расплачивается фантиками, да и не станет писать в саппорт
Удивительное совпадение, недавно пару сайтов проверял по этой схеме — добавляем в закладки то, что не могли бы добавить при нормальных условиях. Уже третий сайт из известных, который подвержен раскрытию приватной информации через закладки (избранное). Видимо это самая непроверяемая, безобидная на первый взгляд функция. Знал бы, что во вконтакте есть закладки — давно бы нашел и эту багу :)
Ну а фотки знаменитостей где? Надо было хотя бы парочку для привлечения внимания выложить)
Поясните, пожалуйста, подробнее, как вы от имени чужих приложений запросы делали?
Даже если разработчик определенного приложения не запросил нужные вам права, то вы все равно можете делать нужные вам запросы?
Это тоже было исправлено?
Даже если разработчик определенного приложения не запросил нужные вам права, то вы все равно можете делать нужные вам запросы?
Это тоже было исправлено?
Это обычное поведение. Не разработчик приложения запрашивает права, а я сам:
Таким образом авторизую самого себя в этом приложении и получаю токен.
Если вы про scope, то он в настройках приложений не захардкожен и легко меняется на клиенте на любой желаемый.
https://oauth.vk.com/authorize?client_id=#{app_id}&response_type=token&display=mobile&scope=474367
Таким образом авторизую самого себя в этом приложении и получаю токен.
Если вы про scope, то он в настройках приложений не захардкожен и легко меняется на клиенте на любой желаемый.
Адрес сайта в настройках нужен только для IFrame приложений и для приложений, которые используют клиентскую авторизацию Open API.
Администрация ВКонтакте выплатила вознаграждение в 10к голосов.
Как забавно читать, когда администрация какого-либо проекта расплачивается «фантиками», которые ей самой ничего не стоят.
Сливай все в Тюрягу!!!
Сам баг простой и вк должно быть стыдно, как всегда. Но реализация крутая, использование execute 25 запросов и идея использования токенов от лица трастовых приложений тоже хорошая!
А при Дурове дали бы нормальных денег… может быть.
Ого. Огромная просьба — а можете выложить скрипт для запросов к ВК?
Перевожу одну систему с JS на Ruby, ой как не хочется переписывать многопоточную молотилку запросов с execute.
Перевожу одну систему с JS на Ruby, ой как не хочется переписывать многопоточную молотилку запросов с execute.
Ешё 1000 подарков бы подарили…
Ну, блин, спасибо…
А где примеры фоток? /me разочарован
Прошел бы мимо, но не увидел комментария примерно следующего содержания: «Люк постарался, молодец!»
Вот интересно — как закрыли? Таки начали проверять права при доступе или просто усложнили процедуру подбора URL?
Хочу обсудить по поводу частоты запросов.
«Со стороны клиента можно обращаться к методам API не чаще 3 раз в секунду.» (из доки ВК)
Т.е. твой скрипт с токеном может делать всегда только 3 запроса в сек, и это можно только распараллелить, но не ускорить. Причем не важно токен какого приложения (насколько популярного).
А истории про 35 в секунду — это серверные терки, в описанном случае невозмножно было использовать, я прав?
«Со стороны клиента можно обращаться к методам API не чаще 3 раз в секунду.» (из доки ВК)
Т.е. твой скрипт с токеном может делать всегда только 3 запроса в сек, и это можно только распараллелить, но не ускорить. Причем не важно токен какого приложения (насколько популярного).
А истории про 35 в секунду — это серверные терки, в описанном случае невозмножно было использовать, я прав?
Можно ускорить, если посылать запросы от имени нескольких пользователей или приложений, т.к. ограничение в 3 запроса относится к одному клиенту одного приложения.
А чтобы использовать силу 35 запросов, вам нужно иметь приложение с количеством участников, превышающих миллион (подробности в доках vk.com/dev/api_requests)
А чтобы использовать силу 35 запросов, вам нужно иметь приложение с количеством участников, превышающих миллион (подробности в доках vk.com/dev/api_requests)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Уязвимость «ВКонтакте» позволяла получить прямые ссылки на приватные фотографии