Я знаю, что это что-то новое и новаторское ...
Вступительная часть 1:
Пытаясь войти в Quora с помощью браузера, я понял, что не помню свой пароль. У меня есть эта учетная запись в нескольких местах. Одно из таких мест - мой телефон. После успешной смены пароля с помощью веб-приложения я открыл приложение для Android, чтобы снова войти в систему с новым паролем (так как он должен был работать). Что ж, моя учетная запись все еще входила в систему со старым паролем. По какой-то причине Quora никогда не выходила из системы.
Действия по воспроизведению:
- Войдите как в Android, так и в веб-приложение, используя одну и ту же учетную запись.
- В веб-приложении запросите ссылку для сброса пароля
- Скопируйте и вставьте ссылку сброса в свой браузер и измените пароль.
- Откройте свое приложение для Android и протестируйте приложение, просмотрев его и, как всегда, выполняя обычные действия.
- Он по-прежнему будет работать по назначению
Примечание. Это было сделано с использованием опции входа в Google. Я не могу гарантировать, что это сработает с использованием обычного аккаунта, созданного с использованием вашей собственной электронной почты.
Вступительная часть 2:
После смены пароля я заметил, что Quora.com никогда не отправлял мне электронное письмо, в котором говорилось о том, что пароль был изменен для моей учетной записи. Фактически, неохотный HackerOne помог мне узнать об этой части ошибки. Как? Каждый раз, когда вы хотите отправить отчет в Quora, вам будет предложено настроить 2FA, что я и сделал. Когда это будет сделано, вы получите электронное письмо от HackerOne с сообщением о внесении нового изменения.
Отчет 1:
Как вы уже знаете, эта проблема в сообществе bug bounty будет считаться двумя разными уязвимостями, одна из которых будет «Отсутствие уведомления об изменении пароля» и «Сеансу не удается выйти из системы при смене пароля. ».
На снимке экрана выше мы можем прочитать ответ на «Не удалось уведомить об изменении пароля», в котором я даже не ожидал ничего меньшего, чем этот ответ.
Отчет 2:
Чего я действительно не ожидал, так это ответа на второй отчет. На самом деле целью этого отчета был дубликат.
Читая мои ответы, мы оба можем согласиться, что я был очень зол на их ответ. Честно говоря, я был зол не из-за того, что не собирался получать награду за этот отчет, а из-за того, что у них был волшебный ответ на отсутствие безопасности в веб-приложении, таком как квора. Тем более, когда всего неделю назад они начали платить нам за наш контент.
Резюме
Часто мы находим уязвимости даже в повседневных делах. Мы также стараемся исправить или / и воспользоваться этим. Как видно из результатов, это был не мой случай. Всегда заботьтесь о своей безопасности, потому что иногда компании просто делают это не так, как должны.