Загрузка...

API Backend Исправлено Обход ввода секретного вопроса при создании API ключа

Тема в разделе Рассмотренные недочеты создана пользователем its_niks 14 апр 2025. 152 просмотра

Сортировать
  1. its_niks
    Кому понравилось (2)
    its_niks Автор темы 14 апр 2025 make testers great again! 16 932 29 янв 2021
    Скриншот/видео недочета: [IMG]
    Полная ссылка на страницу, где возникает проблема: https://lolz.live/account/api/get-token
    Как воспроизвести недочет:
    Код
    POST https://lolz.live/account/api/get-token
    

    
client_id=9k0feiqjry&scopes[]=i+market&scopes_included=1&secret_answer=&accept=Разрешить доступ&_xfToken=token

    Проверил несколько раз, специально перезашел в аккаунт, секретный вопрос не введен. Если разрешения указать не просто market, а например
    ⁡&scopes[]=i+market

    То токен успешно создается без секретного вопроса.

    Импакт: покупка аккаунтов на маркете в обход ввода секретного вопроса.
     
    14 апр 2025 Изменено
  2. RaysMorgan
    RaysMorgan 14 апр 2025 :finger_up: 54 500 7 мар 2013
    если вы вводили секретный вопрос менее 5 минут назад, то при создании не потребуется токен
     
    14 апр 2025
    1. its_niks Автор темы
      RaysMorgan, в том то и дело, при создание через кнопку, поле ввода секретного вопроса появляется и также через переводы проверил, там тоже есть. Для проверки даже в аккаунт перезаходил.
      14 апр 2025 Изменено
    2. its_niks Автор темы
      RaysMorgan, [IMG]В течении последних 30 минут не вводил секретный вопрос
      14 апр 2025
    3. Посмотреть следующие комментарии (1)
  3. ALEGOR
    ALEGOR 15 апр 2025 tetsa
    Попробуйте сейчас
     
    15 апр 2025
    1. its_niks Автор темы
      15 апр 2025
Top
Загрузка...