[uproxy.odkl.ru] Включенный Django debug + утечка tg client session tokens
Здравствуйте, нашёл хост, с включенным дебагом Django и утечкой session tokens от telegram client api. api_id и api_hash так же используются при авторизации, но в этом случае нужно ввести otp, в отличии от случая, когда у нас уже есть session token.
Токены такого вида выдаётся в процессе авторизации с помощью библиотеки https://docs.telethon.dev/en/stable/concepts/sessions.html.
На данный момент ни один из токенов не работает, но минимум один из них работал какое-то время назад.
На данный момент ни один из токенов не работает, но минимум один из них работал какое-то время назад.
Reward
₽7,000
Odnoklassniki
VK
Report No.: 5430
Created: May 15, 2024, 13:13
Disclosed: March 28, 12:31
Status: Fixed
Type: Vulnerability
Severity:
Low
Author:kedr
Files
2024-05-15_16-09-09.png
2024-05-15_16-08-49.png
Comments
By
kedr
May 15, 2024
Пардон, забыл POC
https://uproxy.odkl.ru/api/v1/phones.json
By
SergeyNechaev
May 15, 2024
Добрый день!
Спасибо за отчет. Изучим и вернемся в ближайшее время.
С уважением, VK
By
SergeyNechaev
May 15, 2024
By
SergeyNechaev
May 17, 2024
Добрый день! Спасибо за ожидание. uproxy.odkl.ru резолвится в 82.148.2.195 - это vps, который не имеет к нам никакого отношения. IP был привязан к нашему домену в результате ошибки. На данный момент DNS запись удалена.
Несмотря на то, что показанные вами данные не имеют отношения к сервисам компании одноклассники, мы решили назначить вам бонусное вознаграждение, оно отобразится в профиле в течение 3 недель.
Спасибо за ваше стремелние сделать наши сервисы безопаснее. Будем ждать от Вас новых репортов
By
SergeyNechaev
May 17, 2024
By
SergeyNechaev
May 17, 2024
By
VK
May 20, 2024
Reward assigned: ₽7,000.00
By
kedr
May 20, 2024
Спасибо :)