180к MAU, 43% детей и „филькина грамота“: как я искал уязвимости, а нашёл бизнес-схему
0xItsss 11 минут назад 180к MAU, 43% детей и „филькина грамота“: как я искал уязвимости, а нашёл бизнес-схему Уровень сложности Средний Время на прочтение 14 мин Охват и читатели 284 Информационная безопасность *...
Anthropic — What company has the best second artificial intelligence model at the end of June?
В сфере искусственного интеллекта произошло заметное событие. 0xItsss 11 минут назад 180к MAU, 43% детей и „филькина грамота“: как я искал уязвимости, а нашёл бизнес-схему Уровень сложности Средний Время на прочтение 14 мин Охват и читатели 284 Информационная безопасность * Тестирование веб-сервисов * Говнокод Проектирование API * Bug hunters * Кейс или Матрица: Мнимая Безопасность, где Нео — я, а агент Смит — разраб TL;DR За 2 дня исследований я нашёл критические уязвимости в российском дейтинг-боте Mimolet, которые позволили собрать 12 340 анкет без особых усилий. Всего выкачано 23 999 медиафайлов (22 415 фото + 1 584 видео) общим объёмом 7 GB . Я в этой истории — Нео (0xItsss, TG ), разраб — Мистер Смит (его TG: @kuroplas2 ).
Пока он писал в своём канале «Мамен хакер или их несколько спамили запросами…», я спокойно выкачивал базу через IDOR и отрицательные оффсеты . Оглавление Вступление: Neo vs Mr. Smith Первая находка: IDOR и профили без авторизации Токены лайков: Хэш проверяется, но это не спасает Премиум-иллюзия: обход подписки через profile_view.
Технические детали
php PHPSESSID: Работает даже для забаненных S3 бакеты: Фото всех и каждого Скрейпим 12к профилей за 2 дня Разраб паникует: «Хакер нас дудосит! » Костыли: abuse_ban и почему они не работают Архитектура: ISP Manager и test. php Бизнес-схема: 180k MAU vs ?
реальных Несовершеннолетние: 43% базы — дети Технический анализ: CVSS и бизнес-импакт Выводы: Что делать Мистеру Смиту Disclaimer и этика 1. Вступление: Neo vs Mr. Smith «I know kung fu… and IDOR too» — 0xItsss Всё началось как в Матрице: пришло сообщение от друга с ссылкой на бота, я зашел, увидел косяки и понял — «что-то здесь не так».
Регистрируюсь, смотрю запросы через DevTools. Буквально через 5 минут после регистрации я уже вижу три красных флага: профили доступны в обход ленты (чистый IDOR), токены действий проверяют хэш, но это не мешает эксплуатации, а PHPSESSID работает даже для забаненных аккаунтов. Может ли все быть здесь настолько плохим?
Отраслевые последствия
Как выяснилось — может! Первая находка: IDOR и профили без авторизации Что такое IDOR ? Простыми словами: ты просто идешь по коридору отеля и пробуешь повернуть ручки всех дверей подряд.
Если дверь открылась лишь потому, что ты на нее «нажал» (ввел ID) — это и есть IDOR. Изначально эндпойнт /back/profile/profile_view. tg_id=N предназначался для показа анкет из «Топа», но если подставить туда tg_id анкеты, которой нет в топе, то — о, чудо!
Мы получили нужную нам анкету. GET Response: 200 OK — полный профиль с фото, именем, возрастом Получаем любую анкету по ее ID Запрос работает без токенов, без рейт-лимита, нужна лишь валидная сессия (PHPSESSID). Любой, кто знает Telegram ID, может посмотреть профиль любого пользователя.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.
