Я знаю, что это что-то новое и новаторское ...

Вступительная часть 1:

Пытаясь войти в Quora с помощью браузера, я понял, что не помню свой пароль. У меня есть эта учетная запись в нескольких местах. Одно из таких мест - мой телефон. После успешной смены пароля с помощью веб-приложения я открыл приложение для Android, чтобы снова войти в систему с новым паролем (так как он должен был работать). Что ж, моя учетная запись все еще входила в систему со старым паролем. По какой-то причине Quora никогда не выходила из системы.

Действия по воспроизведению:

  1. Войдите как в Android, так и в веб-приложение, используя одну и ту же учетную запись.
  2. В веб-приложении запросите ссылку для сброса пароля
  3. Скопируйте и вставьте ссылку сброса в свой браузер и измените пароль.
  4. Откройте свое приложение для Android и протестируйте приложение, просмотрев его и, как всегда, выполняя обычные действия.
  5. Он по-прежнему будет работать по назначению

Примечание. Это было сделано с использованием опции входа в Google. Я не могу гарантировать, что это сработает с использованием обычного аккаунта, созданного с использованием вашей собственной электронной почты.

Вступительная часть 2:

После смены пароля я заметил, что Quora.com никогда не отправлял мне электронное письмо, в котором говорилось о том, что пароль был изменен для моей учетной записи. Фактически, неохотный HackerOne помог мне узнать об этой части ошибки. Как? Каждый раз, когда вы хотите отправить отчет в Quora, вам будет предложено настроить 2FA, что я и сделал. Когда это будет сделано, вы получите электронное письмо от HackerOne с сообщением о внесении нового изменения.

Отчет 1:

Как вы уже знаете, эта проблема в сообществе bug bounty будет считаться двумя разными уязвимостями, одна из которых будет «Отсутствие уведомления об изменении пароля» и «Сеансу не удается выйти из системы при смене пароля. ».

На снимке экрана выше мы можем прочитать ответ на «Не удалось уведомить об изменении пароля», в котором я даже не ожидал ничего меньшего, чем этот ответ.

Отчет 2:

Чего я действительно не ожидал, так это ответа на второй отчет. На самом деле целью этого отчета был дубликат.

Читая мои ответы, мы оба можем согласиться, что я был очень зол на их ответ. Честно говоря, я был зол не из-за того, что не собирался получать награду за этот отчет, а из-за того, что у них был волшебный ответ на отсутствие безопасности в веб-приложении, таком как квора. Тем более, когда всего неделю назад они начали платить нам за наш контент.

Резюме

Часто мы находим уязвимости даже в повседневных делах. Мы также стараемся исправить или / и воспользоваться этим. Как видно из результатов, это был не мой случай. Всегда заботьтесь о своей безопасности, потому что иногда компании просто делают это не так, как должны.