В свободном доступе по-прежнему находится частная, финансовая и другая закрытая информация пользователей Fl.ru

Несмотря на публикацию «Критическая уязвимость в безопасности на fl.ru» ^[1], этот сервис продолжает раздавать всем желающим информацию, которую следовало бы закрыть от публичного доступа.

Вы можете легко получить доступ к паспортным данным, адресу регистрации, почтовому адресу, E-mail, телефону и другой информации о пользователях Fl.ru, в том числе финансовой! Причем не только о фрилансерах, но и о заказчиках. Для этого не требуется применять какие-то хакерские приемы и взламывать сайт Fl.ru, достаточно просто пройти по ссылкам, проиндексированным Яндексом с указанием соответствующего реферера в заголовке запроса.

Первый вариант — воспользоваться утилитой wget как рекомендует ValdikSS ^[2] в своем комментарии ^[3]:

wget --referer 'https://st.fl.ru' http://st.fl.ru/about/documents/имя_документа.pdf

Второй вариант — установить дополнение в браузер для указания конкретного реферера для конкретного сайта.
Например для firefox можно использовать это дополнение: addons.mozilla.org/ru/firefox/addon/refcontrol/ ^[4]
После установки надо пройти в настройки RefControl и добавить сайт st.fl.ru, далее выбрать «Иное» и ввести в это поле

https://st.fl.ru

После нажатия «Ok» окно настроек должно выглядеть так:

Все, теперь вы можете пройти по ссылкам Приложение к ОФЕРТЕ НА ЗАКЛЮЧЕНИЕ ДОГОВОРА
или по техническим заданиям ^[5], а также по любым другим вариантам поиска Яндекса или Гугла по домену Fl.ru и получить доступ к информации, которая должна быть закрытой от публичного доступа!

Я думаю, что указание конкретного реферера в http запросе не является противоправным деянием. Уверен, что Fl.ru следует предпринять более серьезные действия, чем проверка реферера — для того, чтобы закрыть от публичного доступа такую критически важную информацию. Например, показывать эти документы только авторизованным пользователям.

Автор: AlexTest

Источник ^[6]