Интересный рассказ парня, который получил 30,000$ за уязвимость в Instagram. Он нашел теоретическую возможность получить доступ к любому аккаунту. Проблема была в режиме сброса пароля, где вам приходит шестизначный код.
Из 1000 параллельных запросов с перебором кода сработало 250, остальные 750 были заблокированы системой защиты от повторяющихся запросов.
Теоретически, арендовав 1000 IP адресов в сети Amazon за 150$ можно в полчаса подобрать код сброса, делая небольшие паузы между запросами на каждом IP.
Думаю, что подобной уязвимости подвержено огромное количество сервисов.
Из 1000 параллельных запросов с перебором кода сработало 250, остальные 750 были заблокированы системой защиты от повторяющихся запросов.
Теоретически, арендовав 1000 IP адресов в сети Amazon за 150$ можно в полчаса подобрать код сброса, делая небольшие паузы между запросами на каждом IP.
Думаю, что подобной уязвимости подвержено огромное количество сервисов.