Уязвимость в ВК.

[Auri]

Собственно суть темы в том что в вк появилась (хотя и раньше была просто сейчас появилась ее огласка) уязвимость, позволяющая искать файлы пользователей.

К примеру:
за 5 минут я нашел какой то скрипт pchayka
https://forum.zone-game.info/member.php?u=17810
http://vk.com/doc180955715_174399529
немного кода

Код:

package ai;

import java.util.ArrayList;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

import l2p.commons.util.Rnd;
import l2p.gameserver.ai.CtrlEvent;
import l2p.gameserver.ai.DefaultAI;
import l2p.gameserver.model.Creature;
import l2p.gameserver.model.Playable;
import l2p.gameserver.model.Skill;
import l2p.gameserver.model.instances.NpcInstance;
import l2p.gameserver.scripts.Functions;
import l2p.gameserver.tables.SkillTable;
import l2p.gameserver.utils.Location;
import bosses.AntharasManager;

/**
 * @author pchayka
 */

public class Antharas extends DefaultAI
{

Стоит задуматься о безопасности ваших документов( к примеру некий дизайнер может хранить псд своих неких дизайнов)(нашел порядка 3 псд, 2 из них были в шаре конечно)

[Ashe]

http://habrahabr.ru/post/132108/

[Auri]

оу)
1 из псд что нашел свежий, барижится на л2чето там

[SouthBridge]

В данном случае, эту "уязвимость" можно списать на головы владельцев доков, которые по контенту являются приватными и выставлены открытыми для поисковой выдачи.
Тогда по-умолчанию предлагалась иная опция конфиденциальности, насколько я помню. Об этом никто не парился конечно. Далее, далее, ок и забыл.

На днях, на хабре засветили уязвимость по-лучше.
Через восстановление пароля на m.vk можно было помимо аватарки еще и имя\фамилию владельца страницы узнать по номеру моб.телефона. Найти же страницу по этой информации - вопрос времени. Находка для соц. инженерии и спамбаз.
Успел узнать много нового

[hybik]

dropbox наше всё

[Leonardo.od1]

То такое, этот ваш, dropbox ?

Пардон, уже загуглил...
Но все равно, что в нем такого классного?

[Shayne]

Цитата:

Сообщение от SouthBridge

В данном случае, эту "уязвимость" можно списать на головы владельцев доков, которые по контенту являются приватными и выставлены открытыми для поисковой выдачи.
Тогда по-умолчанию предлагалась иная опция конфиденциальности, насколько я помню. Об этом никто не парился конечно. Далее, далее, ок и забыл.

На днях, на хабре засветили уязвимость по-лучше.
Через восстановление пароля на m.vk можно было помимо аватарки еще и имя\фамилию владельца страницы узнать по номеру моб.телефона. Найти же страницу по этой информации - вопрос времени. Находка для соц. инженерии и спамбаз.
Успел узнать много нового

Сразу, после статьи на хабре ее пофиксили, хотя до этого была доступна и в других источниках.

[Leonardo.od1]

Цитата:

Сообщение от Shayne

Сразу, после статьи на хабре ее пофиксили, хотя до этого была доступна и в других источниках.

Что то, я не заметил фикс...

http://vk.com/docs

[Ashtone Grey]

Не приведи господь тебе попасть в мои документы.

[Shayne]

Цитата:

Сообщение от Leonardo.od1

Что то, я не заметил фикс...

http://vk.com/docs

Я о мобильной версии восстановления пароля.