Lab Vulnerabilities โ
Token Reuse (No Expiry)
sc_token in localStorage never expires โ valid forever
Location Privacy Leak
GET /api/map/friends โ all friends' GPS coords exposed
IDOR on Snaps
GET /api/snaps/[snap_id] โ numeric IDs, easily enumerable
XSS in Story Caption
Story caption/title rendered as innerHTML
ุชุณุฌูู ุงูุฏุฎูู ุฅูู ุณูุงุจ ุดุงุช
ูู
ุจุงูุฏุฑุฏุดุฉุ ูุฃุฎุฐ ุงูููุทุงุชุ ูุฅุฌุฑุงุก ู
ูุงูู
ุงุช ููุฏูู ู
ุน ุฃุตุฏูุงุฆู ูุนุงุฆูุชู.
ุงุณุชุฎุฏู
ุฑูู
ุงููุงุชู ุจุฏูุงู ู
ู ุฐูู
ุชุณุฌูู ุงูุฏุฎูู
ุฃู ุชุงุจุน ุจุชูุฒูู ุชุทุจูู ุณูุงุจ ุดุงุช ููููุจ
ู
ุชููุฑ ูู ู
ุชุฌุฑ Microsoft
ูู ุชุจุญุซ ุนู ุชุทุจููุ ุงุญุตู ุนููู ู
ู ููุง.
ุชุณุฌูู ุงูุฏุฎูู
ุฑุฌูุน
๐ฌ LAB
atlas_ghost / snap123 ยท
snap_victim / victim99
Token in localStorage โ no HttpOnly flag