Уязвимость позволяет зайти на страницу «ВКонтакте» даже после выхода из профиля

0
133

Пользователь в интернете обнаружил весьма любопытную уязвимость, которая позволяет получить доступ к чужому аккаунту «ВКонтакте». Примечательно, что для этого даже не понадобится вводить логин и пароль.

Уязвимость позволяет зайти на страницу "ВКонтакте" даже после выхода из профиля

Неизвестный пользователь «Хабрахабра» под ником prohodil_mimo обнаружил явную недоработку, которая позволяет при помощи cookie-файлов получать доступ к странице даже при условии, что владелец вышел из профиля. Юзер объяснил, что вся уязвимость кроется в потоке авторизации OAuth, которая даже после выхода пользователя из «ВКонтакте» по ряду причин оставляет рабочими cookie, через которые можно беспрепятственно вернуться на страницу без необходимости вводить логин и пароль.

Внимательный юзер уже оповестил службу поддержки «ВКонтакте», но там ему объяснили, что «это не баг, а фича». После этого программист решил обнародовать имеющуюся информацию в сети, чем и привлёк внимание тысяч людей.

Александр Сарутоби

Интернет — ВладТайм — самые независимые новости