Задать вопрос
Labunsky
@Labunsky
Я есть на хабре

Кому писать об уязвимости ВК? И стоит ли?

Вечер добрый.
Дело в том, что недавно начал изучать VK API и нашел узкое место во всей системе, которое, как мне показалось, можно нещадно эксплуатировать для получения контроля над аккаунтом. Даже написал в целях эксперимента "минивирус". Все работает, притом так, по моему скромному мнению, быть не должно.
А теперь, собственно, вопрос: кому написать про уязвимость? Читал на хабре, что саппорт не очень хорошо принимает к сведению, не говоря уж о том, чтобы какие-нибудь поощрительные выплаты проводить, а никакой официальной программы для отчетов о дырах я не нашел (кроме багтрекера API, но его можно не считать). И имеет ли смысл доказывать, что уязвимость имеет место быть, а если имеет, как это сделать? Дело в том, что для ее эксплуатации "минивирусу" нужен единовременный (то есть лишь один раз отработать пару секунд и самовыпилиться) доступ к компьютеру, на котором имеется браузер с сессией вк. Собственно, может ли тогда уязвимость вообще рассматриваться как уязвимость на стороне ВК?
Буду благодарен за ответы и советы.
  • Вопрос задан
  • 1464 просмотра
Подписаться 2 Оценить 5 комментариев
Решения вопроса 1
@vilgeforce
Раздолбай и программист
"По правилам проекта Google, посвященного поиску уязвимостей в популярном программном обеспечении, информация о найденных «дырах» публикуется спустя 90 дней после ее обнаружения и уведомления разработчика — неважно, выпустил он обновление или нет." Кто-то делает так...
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 5
@Espleth
Данная уязвимость есть только в ВК, или во всех сайтах? Если только в ВК, то, очевдно, стоит написать.
Среагируют думаю адекватно, только там вроде как 2 саппорта: один для "простолюдинов", другой по техническим вопросам. Вам во второй.
Насчет награды не знаю. Судя по описанию не такая уж и критическая уязвимость - доступ к компу то нужен. Может дадут несколько тысяч голосов. (один голос - ~7 рублей на пополнение и ~3.5р на вывод из ВК)
Ответ написан
А уязвимость ли это вообще? Если требуется доступ к компьютеру, браузеру с сессией - то скорее всего это не уязвимость.
Ответ написан
Scorpi
@Scorpi
Если вы под уязвимостью подразумеваете получение вечного токена для API, то забудьте =]
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы