LINUX.ORG.RU
ФорумTalks

Кто там за асейчку пилил?

 , , ,


0

1

В общем в асечки найдена уязвимость, которая позволяла подключиться абсолютно к любому чату по его chat.agent`y.
Уязвимость была в api.icq.com. Уязвимым метод: добавление людей в чат.
Несчастный, обнаружевший уязвимость еще долго доказывал этим неадекватам что она вообще есть, потом они её признали и устранили. Жалко что аська попала к таким неадекватным людям.

Уязвимость довольно таки серьёзная, но у данной уязвимости был ещё один козырь. Когда я подключался в чат, где меня никогда не было, у меня подгружалась полная история чата, до моего присутствия там.

UPD: нашедшему уязвимость досталась 1000 USD (не лёгким трудом т.к. доказывать наличие дыры пришлось упорно)

★★★★★

Последнее исправление: Promusik (всего исправлений: 2)

у меня подгружалась полная история чата, до моего присутствия там.

Это как раз нормальное и логичное поведение.

Кто там за асейчку пилил?

Кто?

al-kasch
()

Какой ужас. А в gopher уязвимости не нашли? А то не ровен час...

Deleted
()

ужас, в апи мессенжера дыру нашли

Мы все умрем!

mandala ★★★★★
()
Ответ на: комментарий от vasya_pupkin

Не сдохло видимо, поскольку нашедший дыру все же выклянчил 1к USD

Promusik ★★★★★
() автор топика

нашедшему уязвимость досталась 1000 USD

М - мотивация (на самом деле нет).

DawnCaster ★★
()

Вместо унижения перед мейлрушными снобами, лучше бы поинтересовался где такими уязвимостями торгуют. И денег больше получил бы и, возможно, уязвимость была бы исправлена раньше.
Была вообще наркоманская история, как один такой же наивный white hat сообщил о важной уязвимости какому-то банку, а в ответ получил судебный иск.

Deleted
()

Несчастный, обнаружевший уязвимость еще долго доказывал этим неадекватам что она вообще есть, потом они её признали и устранили. Жалко что аська попала к таким неадекватным людям.

Ждём заметки в корпоративном блоге мэйлрушечки на хабре о том, как благодаря помощи сообщества они делают асечку лучше с каждым днём.

dogbert ★★★★★
()

Несчастный, обнаружевший уязвимость еще долго доказывал этим неадекватам что она вообще есть, потом они её признали и устранили. Жалко что аська попала к таким неадекватным людям.

Тут дело не в ICQ, ибо подобным образом проблемы почти с каждым разработчиком.

Надо просто делать full disclosure и пусть дальше сами правят как хотят.

Deleted
()

Кто там за асейчку пилил?

Что? Некрофилы уже в треде?

burato ★★★★★
()

Уязвимость была в api.icq.com.

Не уязвимость, а APIv2

atsym ★★★★★
()
Ответ на: комментарий от Deleted

А что не так? Тебя приглашают в чат, и ты сразу видишь о чём там речь. В telegram, например, точно так же реализовано. и это удобно.

al-kasch
()
Ответ на: комментарий от al-kasch

А что не так? Тебя приглашают в чат, и ты сразу видишь о чём там речь.

Тебя приглашают в чат

Вот что не так. Из описания уязвимости понятно, что присоединиться можно было к любому чату, вне зависимости от наличия приглашения.

возможность присоединиться к любому чату (даже закрытому).

It was possible to join the non-public chat by id, which is brutable

Короче, весьма классическая бага, свидетельствующая о низком качестве кода и плохом тестировании.

Wizard_ ★★★★★
()
Последнее исправление: Wizard_ (всего исправлений: 2)

А разве INTERNET создавался для гарантии какой-то приватности? Это его дополнительный бонус, и совсем не обязательный.

pacify ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Talks