Уязвимость в Одноклассниках могла нанести не мало бед пользователям
Всем привет, решил я зайти на Одноклассники, да посмотреть как же там обстоят дела по защите данных.
В первую очередь начал проверять приватность таких файлов как фотки/видео/.
Но это не привело меня к успеху.
Итак я решил перейти уже в «Личные Сообщения».
Увидел загрузку файлов, так уже хорошо…
Загрузил файл и увидел кое-что интересное.
Ссылка на скачку файла была такой
(Сейчас она не действительна).
https://ok.ru/web-api/messages/attach/download/21146852/PRIVATE_000000854965066800000089a75d3f290a00000164659a956c20bc0000000000000000
Хм, интересно…
Я решил изменить id файла с «21146852» на «21146842»
Вау я смог скачать какой то файл, это была фотография. (Этим способом можно было скачать всё что угодно, файлы любого формата который пользователь кому то отправлял).
Таким образом я нашёл вполне не плохую уязвимость, до которую мог найти совершенно любой человек, и использовать её не в благих целях, например сливать на всякие форумы фотографии/видео личного характера. Ну я думаю вы понимаете о чём я. Читать дальше →
В первую очередь начал проверять приватность таких файлов как фотки/видео/.
Но это не привело меня к успеху.
Итак я решил перейти уже в «Личные Сообщения».
Увидел загрузку файлов, так уже хорошо…
Загрузил файл и увидел кое-что интересное.
Ссылка на скачку файла была такой
(Сейчас она не действительна).
https://ok.ru/web-api/messages/attach/download/21146852/PRIVATE_000000854965066800000089a75d3f290a00000164659a956c20bc0000000000000000
Хм, интересно…
Я решил изменить id файла с «21146852» на «21146842»
Вау я смог скачать какой то файл, это была фотография. (Этим способом можно было скачать всё что угодно, файлы любого формата который пользователь кому то отправлял).
Таким образом я нашёл вполне не плохую уязвимость, до которую мог найти совершенно любой человек, и использовать её не в благих целях, например сливать на всякие форумы фотографии/видео личного характера. Ну я думаю вы понимаете о чём я. Читать дальше →
Источник: Хабрахабр
Похожие новости
- Неизменяемая архитектура. Практическая проверка кодом. Аутентификация
- Spark_news: Рейтинг компаний, которые закрывали магазины в России к 2026 году
- Охота на CVE в Cursor IDE: полный технический разбор безопасности AI-редактора
- GooD_News: Huawei выходит на рынок AI-очков
- Руководство по геопространственной разведке (GEOINT)
- Cроки факторизации приватных ключей RSA и Bitcoin немного приблизились
- [Перевод] Знакомство с одним прогоном Mythos применительно к Firefox: а разговоров-то было?
- Victor Koch: «Эффект Бони»
- DDoS снова «переобулся»: как изменился ландшафт угроз в I квартале 2026 года
- AlinaTen: DeepRoute.ai заявила о более чем 300 тысячах автомобилей с её системой автопилота