HackerOne Report: #420420
Оригинал статьи на английском языке - читать
перевод Cybred
На одном из поддоменов Snapchat, а именно whatis.snapchat.com, можно найти страницу с информацией о том, что такое этот ваш Snapchat, для чего он нужен и какие возможности открывает. Если пролистать вниз, можно увидеть ссылки на скачивание приложения, а также форму для ввода номера телефона, позволяющую отправить ссылку на телефон.
Я решил проверить эту функцию, ввел свой номер и нажал на кнопку «Отправить ссылку». Был сделан POST запрос на app.snapchat.com:
Меня заинтересовал параметр "cid=", который, помимо вышеуказанной ссылки, также находился и в ссылке из СМС.
Я захотел попробовать отправить этот же запрос, изменив данный параметр. В качестве нового значения написал следующую строку (пробелы заменены знаками "плюс"):
Как видите, сообщение успешно отправилась с указанным мною текстом. Таким образом злоумышленник может рассылать сообщения от имени Snapchat с собственным текстом (например, с фишинговыми ссылками).
Snapchat исправили данный баг, убрав "sid" и другие чувствительные параметры из ранее уязвимой ссылки.
Выводы:
Оригинал статьи на английском языке - читать
перевод Cybred
На одном из поддоменов Snapchat, а именно whatis.snapchat.com, можно найти страницу с информацией о том, что такое этот ваш Snapchat, для чего он нужен и какие возможности открывает. Если пролистать вниз, можно увидеть ссылки на скачивание приложения, а также форму для ввода номера телефона, позволяющую отправить ссылку на телефон.
Я решил проверить эту функцию, ввел свой номер и нажал на кнопку «Отправить ссылку». Был сделан POST запрос на app.snapchat.com:
Код:
https://app.snapchat.com/stories_everywhere/download_sms?phone_number=2133198570&country_code=US&cid=whatisЯ захотел попробовать отправить этот же запрос, изменив данный параметр. В качестве нового значения написал следующую строку (пробелы заменены знаками "плюс"):
Код:
cid=TES+HACKED+1337+LOL+HacKerOne.comКак видите, сообщение успешно отправилась с указанным мною текстом. Таким образом злоумышленник может рассылать сообщения от имени Snapchat с собственным текстом (например, с фишинговыми ссылками).
Snapchat исправили данный баг, убрав "sid" и другие чувствительные параметры из ранее уязвимой ссылки.
Выводы:
- Всегда проверяйте конечные точки, редактируйте значения параметров и ищите аномалии в реакции web-приложений.
- Таких ошибок, как у Snapchat, море. Часто - на крупных сервисах. Просто ищите!