VK.com: Не достаточная проверка логина скайп

2015-06-01T22:34:48
ID H1:65330
Type hackerone
Reporter abr1k0s
Modified 2015-10-30T11:34:43

Description

Существует не достаточная проверка в поле ввода логина skype. В частности не фильтруются некоторые символы, например "?". Что позволяет в вписывать некоторые команды скайпу, которые могут ввести пользователя в замешательство, а зачастую пользователь может "случайно" отправить злоумышленнику свои файлы.

Для воспроизведения проблемы вписываем в поле скайп следующее: abr1k0s-helm?sendfile&

Теперь у любого, кто кликнет по логину скайпа на моей странице высветится диалог выбора файла. Если файл будет выбран (например случайно, либо по ошибке) - он тут же отправится мне (в данном случае выступающему в качестве злоумышленника) в скайп.