DiNo
New member
Находим личные данные через LightShot
Нашел полезную лазейку в безопасности LightShot.
Для тех, кто не знает, то программа LightShot предназначена для создания скриншотов и возможностью делиться ими, загружая на сайт prnt.sc
После загрузки скриншота на сайт, вам выдается url-адрес с этим скриншотом, по типу такого: prnt.sc/lzpfh2
В чем собственно уязвимость? А все просто, поменяв последний символ на другой, то, внезапно, мы перейдем на другой скриншот. Получается, что загружая свои скриншоты всем на показ, потому что никакой защиты здесь не предусмотрено.
Вот, что полезного мне удалось найти:
1. ФИО, почту, номер телефона, и ip:
2. Почту и телефон: Четверть миллиона, телефон, имя пользователя: можно сделать зная сайт, имя и почту? Как пример, фишинговая рассылка.
Дальше эти действия можно автоматизировать. Например, этой софтиной:
Нашел полезную лазейку в безопасности LightShot.
Для тех, кто не знает, то программа LightShot предназначена для создания скриншотов и возможностью делиться ими, загружая на сайт prnt.sc
После загрузки скриншота на сайт, вам выдается url-адрес с этим скриншотом, по типу такого: prnt.sc/lzpfh2
В чем собственно уязвимость? А все просто, поменяв последний символ на другой, то, внезапно, мы перейдем на другой скриншот. Получается, что загружая свои скриншоты всем на показ, потому что никакой защиты здесь не предусмотрено.
Вот, что полезного мне удалось найти:
1. ФИО, почту, номер телефона, и ip:
2. Почту и телефон: Четверть миллиона, телефон, имя пользователя: можно сделать зная сайт, имя и почту? Как пример, фишинговая рассылка.
Дальше эти действия можно автоматизировать. Например, этой софтиной: