В поисках багов Сегодня на досуге решил немного заняться поис | RamCode

В поисках багов

Сегодня на досуге решил немного заняться поиском уязвимостей, в качестве жертвы выбрал социальную сеть для работы и бизнеса — TenChat (русский LinkedIn), которая в последнее время активно рекламируется на просторах рунета и имеет уже порядка 1.6 млн пользователей.

Немного ранее находил там баг, позволявший выявить номер телефона, на который зарегистрирован аккаунт любого пользователя. За баг ничего не заплатили, но аккуратно исправили.

Сегодня нашел еще пару некритичных багов и одну довольно интересную уязвимость — XSS (межсайтовый скриптинг). На первый взгляд казалось, что присутствует хорошая защита и скрипт не хотел выполняться, но после некоторых махинаций все же получилось обойти защиту.

Результат: https://tenchat.ru/post/649208