180к MAU, 43% детей и „филькина грамота“: как я искал уязвимости, а нашёл бизнес-схему
Нашел в российском дейтинг-боте с якобы 180k MAU несколько high-уязвимостей: IDOR, отсутствие rate limiting, обход токенов и публичный доступ к медиа. Это позволило легко получить доступ к ~12k профилям и ~24k файлам, при этом 43% анкет принадлежат несовершеннолетним. Также удалось обойти...
[Перевод] Кража закрытых видео YouTube по одному кадру
В декабре 2019 года, спустя несколько месяцев после того, как я занялся хакингом по программе Google VRP, я обратил внимание на YouTube. Мне хотелось найти способ получать доступ к закрытым (Private) видео, которыми я не владею. При загрузке видео на YouTube можно выбрать один из трёх параметров...