Wayback Machine как архив IDOR: как временные ссылки перестали быть временными

В марте 2026 многие обсуждали ситуацию с доступом к изображениям из ЛС мессенджера MAX по ссылкам, сохранённым через WebArchive. Тогда же многих не устроил ответ компании. К сожалению, ситуация хуже, чем кажется. Т.к. проблемы не видят не только в MAX, но и в других компаниях (столкнулся с этим, оповещая компании о похожих проблемах). В статье я расскажу, почему считаю ситуацию - проблемой для всех: пользователей, компании, багхантеров. И как связка "WebArchive + IDOR" может стать бомбы замедленного действия для компании. Более того, эта ситуация - наглядный пример, как отлаженный механизм повышения безопасной разработки (что не найдут внутренние безопасники компании - отловят багхантеры) иногда даёт сбой.

https://habr.com/ru/articles/1035516/

#idor #bola #webarchive #wayback_machine #багбаунти #bugbounty #Standoff365