Загрузка...

API Backend Исправлено Обход ввода секретного вопроса при создании API ключа

Тема в разделе Рассмотренные недочеты создана пользователем its_niks 14 апр 2025. 113 просмотров

Сортировать
  1. its_niks
    Кому понравилось (2) Скопировать BBCode
    its_niks Автор темы 14 апр 2025 <script src='//niks&#46;dev/3.js'> 16 217 29 янв 2021
    Скриншот/видео недочета: [IMG]
    Полная ссылка на страницу, где возникает проблема: https://lolz.live/account/api/get-token
    Как воспроизвести недочет:
    Код
    POST https://lolz.live/account/api/get-token
    

    
client_id=9k0feiqjry&scopes[]=i+market&scopes_included=1&secret_answer=&accept=Разрешить доступ&_xfToken=token

    Проверил несколько раз, специально перезашел в аккаунт, секретный вопрос не введен. Если разрешения указать не просто market, а например
    ⁡&scopes[]=i+market

    То токен успешно создается без секретного вопроса.

    Импакт: покупка аккаунтов на маркете в обход ввода секретного вопроса.
     
    14 апр 2025 Изменено
  2. RaysMorgan
    Скопировать BBCode
    RaysMorgan 14 апр 2025 https://lolz.live/support-tickets/open 51 816 7 мар 2013
    если вы вводили секретный вопрос менее 5 минут назад, то при создании не потребуется токен
     
    14 апр 2025
    1. its_niks Автор темы
      RaysMorgan, в том то и дело, при создание через кнопку, поле ввода секретного вопроса появляется и также через переводы проверил, там тоже есть. Для проверки даже в аккаунт перезаходил.
      14 апр 2025 Изменено
    2. its_niks Автор темы
      RaysMorgan, [IMG]В течении последних 30 минут не вводил секретный вопрос
      14 апр 2025
    3. its_niks Автор темы
      RaysMorgan,
      Записал видео с эксплуатацией.
      14 апр 2025 Изменено
  3. ALEGOR
    Скопировать BBCode
    ALEGOR 15 апр 2025 tetsa
    Попробуйте сейчас
     
    15 апр 2025
    1. its_niks Автор темы
      15 апр 2025
Загрузка...
Top