Кому писать об уязвимости ВК? И стоит ли?

Question

[Labunsky]

Вечер добрый.
Дело в том, что недавно начал изучать VK API и нашел узкое место во всей системе, которое, как мне показалось, можно нещадно эксплуатировать для получения контроля над аккаунтом. Даже написал в целях эксперимента "минивирус". Все работает, притом так, по моему скромному мнению, быть не должно.
А теперь, собственно, вопрос: кому написать про уязвимость? Читал на хабре, что саппорт не очень хорошо принимает к сведению, не говоря уж о том, чтобы какие-нибудь поощрительные выплаты проводить, а никакой официальной программы для отчетов о дырах я не нашел (кроме багтрекера API, но его можно не считать). И имеет ли смысл доказывать, что уязвимость имеет место быть, а если имеет, как это сделать? Дело в том, что для ее эксплуатации "минивирусу" нужен единовременный (то есть лишь один раз отработать пару секунд и самовыпилиться) доступ к компьютеру, на котором имеется браузер с сессией вк. Собственно, может ли тогда уязвимость вообще рассматриваться как уязвимость на стороне ВК?
Буду благодарен за ответы и советы.

Comments

[GILGAMESHff7]

Это я удачно заметил ваш комментарий!!!!
За нахождение уязвимости дают 10 000 голосов на аккаунт. При выводе это 35 000 рублей.

[GILGAMESHff7]

Вот скриншот на моей стене: https://vk.com/andrew.nefedov?w=wall6845531_5470

[GILGAMESHff7]

Дают очень мало денег. Так что используйте себе во благо.

[GILGAMESHff7]

Рискуете вообще ничего не получить, а дыру закроют. Так что пользуйтесь сами.

[GILGAMESHff7]

Если вдруг надумаете, то писать нужно ТОЛЬКО сюда и ТОЛЬКО по этой ссылке:
https://vk.com/support?act=new_api

Так вас быстрее заметят и вопрос передадут ответственному лицу.

Answer 1

[Владимир Мартьянов]

"По правилам проекта Google, посвященного поиску уязвимостей в популярном программном обеспечении, информация о найденных «дырах» публикуется спустя 90 дней после ее обнаружения и уведомления разработчика — неважно, выпустил он обновление или нет." Кто-то делает так...

Answer 2

[Espleth]

Данная уязвимость есть только в ВК, или во всех сайтах? Если только в ВК, то, очевдно, стоит написать.
Среагируют думаю адекватно, только там вроде как 2 саппорта: один для "простолюдинов", другой по техническим вопросам. Вам во второй.
Насчет награды не знаю. Судя по описанию не такая уж и критическая уязвимость - доступ к компу то нужен. Может дадут несколько тысяч голосов. (один голос - ~7 рублей на пополнение и ~3.5р на вывод из ВК)

Comments

[Labunsky]

Естественно, только в вк. Вот именно из-за доступа к компу у меня и сомнения: вроде и нет особых проблем протолкнуть файлик весом в пару килобайт и запустить его в теоретическом плане (другое дело, что заниматься этим совсем не хочется), да и прав никаких для его исполнения не нужно, UAC не помеха... Но все-таки чувствуется, что могут не принять во внимание. Хотя, с другой стороны, штука получилась очень и очень неприятная

[Espleth]

Labunsky: тем более, раз даже прав никаких не нужно. Подозреваю, в таком случае файлик легко "посадить" к какой-нибудь программке и никто не узнает?

[Labunsky]

Espleth: подсадить можно, вообще без проблем. А вот про узнает... В моей реализации я не старался подчищать следы, так что видно, что что-то произошло. Правда, непосвященному пользователю не будет понятно, что. Но это уже технические детали, которые вполне возможно реализовать

[Espleth]

Labunsky: ну, в общем, скажу так: я бы на вашем месте отправил. Ну и можно еще статейку по этой теме сделать для портфолио =)

[Labunsky]

Espleth: да статью я напишу в любом случае, ради этого и старался, по сути. Другое дело, что перед этим стоит пообщаться с саппортом, притом убедить их прикрыть лавочку, иначе как-то неэтично выходит... В любом случае, спасибо за советы =)

[Espleth]

Labunsky: ну не прикроют, то смотрите ответ vilgeforce =)

Answer 3

[Damir Makhmutov]

А уязвимость ли это вообще? Если требуется доступ к компьютеру, браузеру с сессией - то скорее всего это не уязвимость.

Comments

[Labunsky]

Потому и сомнения. С другой стороны, доступ требуется лишь разовый, притом без привилегий

[Damir Makhmutov]

Что вы имеете ввиду под "разовый доступ"? Если я инвалидирую сессию после вашего вмешательства - "уязвимость" будет так же работать?

[Damir Makhmutov]

Пример: "Если вы мне дадите разовый доступ к вашему PC - то я смогу угнать у вас все cookie файлы, и воспользоваться вашими сессиями." - это не уязвимость конкретного сайта

[Labunsky]

Damir Makhmutov: сессию вк из куков вы не украдете при всем желании, увы (или я чего-то не знаю). Да, после инвалидации она продолжает работать, во всяком случае, как минимум в течение некоторого времени (сидеть без вк ради эксперимента больше пары часов не очень хочется). Вообще, к сессии она никак не привязана, так что хоть пароли менять можно, хоть почту

[Damir Makhmutov]

Артем Лабунский: ну камон, дайте-ка мне свои куки? :-) Чтобы инвалидировать сессию - достаточно разлогиниться, не нужно ждать несколько часов.

[Damir Makhmutov]

Если уязвимость не связана никак с сессией вк - то выглядить это как уязвимость. Не совсем только ясно зачем в таком случае доступ к PC, ну видимо я чего-то не знаю :-)

[Labunsky]

Damir Makhmutov: да я могу дать, другое дело в том, что вместо сессии из них можно получить кучу другой полезной информации, так что нет, спасибо х) Я знаю, но в силу специфики уязвимости время может влиять (а может и нет, надо потестировать)

[Damir Makhmutov]

Чтобы утащить сессию - достаточно взять токен remixsid в куках.

[Labunsky]

Damir Makhmutov: не сработает при несовпадении ip

Answer 4

[Scorpi]

Если вы под уязвимостью подразумеваете получение вечного токена для API, то забудьте =]

Comments

[Labunsky]

Она связана с токенами, поэтому можно по-подробнее, в каком случае мне можно забыть? =)

[Scorpi]

Артем Лабунский: да мне кажется в любом случае. То что имея куки можно получить вечный токен с полными правами я думаю ни для кого не секрет.

[Damir Makhmutov]

Артем Лабунский: Во-первых для того чтобы получить вечный api token - пользователь должен быть авторизован в вк. Это в ответу с сессиями: https://toster.ru/answer?answer_id=590176#comments...

[Labunsky]

Scorpi: я никоим образом не трогаю куки, так как этому могут помешать настройки UAC. Да и ленивый я слишком, разбираться с ними. Я получаю его иным методом, так что, похоже, можно не забывать пока что

[Scorpi]

Артем Лабунский: как нибудь связано с clickjack'ом? habrahabr.ru/post/228617

[Labunsky]

Scorpi: никак. Вообще, гугл не выдал мне ничего, да и я сам не видел ничего похожего. Хотя почти уверен, что не первый это заметил

[Scorpi]

Артем Лабунский: ну тогда советую немного подождать. Читал что скоро у ВК появится полноценная программа bug bounty

[Labunsky]

Scorpi: я тоже. Вот только читал я это в комментариях на хабре, а кроме этого нигде ничего не слышно

Answer 5

[entermix]

habrahabr.ru/post/257951

Comments

[Labunsky]

Я читал. Проблема в том, что в статье автор пишет, что в саппорте особой реакции не дождался, связался через знакомого (или не очень) человека с разработчиками.

[Dmitry K]

Там отписывался пентестер с ником "bo0om" habrahabr.ru/users/bo0om , думаю если ты напишешь ему этот вопрос, то он может заинтересоваться.

[Labunsky]

gospodin mir: увы, аккаунт у меня ридонли, так что не вариант

[Dmitry K]

Артем Лабунский: в его профиле есть ссылка на личный сайт, где есть форма обратной связи.

Answer 6

[Dmitry K]

habrahabr.ru/post/259137

Comments

[Labunsky]

Я уже написал туда в тот же момент, как увидел статью. Но все равно спасибо

[Дядька Серёжа]

Артем Лабунский: как успехи?

[Labunsky]

Дядька Серёжа: официальная программа успешно игнорирует уже месяц как =)