Как многие наверняка знают, сравнительно недавно vkontakte.ru запустил «Ускоренный просмотр фотографий» — довольно удобную функцию с Ajax-переключением фотографий.
Этот режим стал особенно популярен, когда выяснилось, что права доступа текущего пользователя к просматриваемым фотографиям не проверены (т.е.
вместо сообщения «Фотография защищена настройками конфиденциальности» вы получили искомый контент).
Через некоторое время программисты vkontakte.ru закрыли эту дыру.
Но.
сегодня случайно наткнулся на такое: если вы заходите на страницу с фотографиями пользователя, включаете ускоренный режим, и на этой странице вам доступна хотя бы одна фотография - попав на нее, вы можете нажать "назад" стрелка (переход на предыдущее фото) - и вуаля! Проверка доступа снова отключена.
Нажав еще раз «назад», вы сможете просмотреть все фотографии, только в обратном порядке.
Теги: #vkontakte.ru #уязвимость #Ajax #не надо так программировать #Социальные сети и сообщества
-
Вы Пытаетесь Найти Ведущую Услугу Dsl?
19 Oct, 24 -
Vpn За 60 Секунд
19 Oct, 24 -
Scratch Для «Продвинутых»
19 Oct, 24 -
Вы Можете Съесть Мое Печенье В Любое Время.
19 Oct, 24 -
Курс C++ В Центре Cs, Первая Часть
19 Oct, 24
