Xss В Контакте

Обсуждение в разделе «Мировые новости. Обсуждения.», начал(-а) Sharky, 5.06.2008.

  1. Sharky

    Sharky Elder - Старейшина

    Регистрация:
    1.05.2006
    Сообщения:
    749
    Одобрения:
    312
    Репутация:
    46
    В популярной социальной сети ВКонтакте.ру, в сервисе Приложения, обнаружена XSS-уязвимость.

    Она заключается в том, что в исходный код флэшки можно внедрить javascript, который при прямом доступе к флэшке исполнится, как и в IE, так и в Firefox'е. Это, конечно, разработчиками ВКонтакте учтено: прямой доступ к флэшке запрещен. Но флэшка сохраняется в кэше браузера, откуда ее можно загрузить без проблем.

    На этом основан proof-of-concept. Когда флэшка сохранилась в кэше браузера, то она может открыть новое окно с ссылкой на себя, браузер ее загрузит из кэша - и javascript выполнится.

    Единственное, что спасает, - это блокировщик всплывающих окон. Но обычные пользователи, видя, что открывает его ВКонтакт, блокировку снимут. Работоспособность во всех браузерах не гарантирована, проверялось на IE6 и FF3RC1.

    ТЕСТ (новое окно открывается через 2 секунды)

    (с) habrahabr.ru
     
    Это одобряют 5 пользоветелей.
  2. AFoST

    AFoST Elder - Старейшина

    Регистрация:
    28.05.2007
    Сообщения:
    630
    Одобрения:
    485
    Репутация:
    176
    угу... в опере работает....
     
  3. [:|||||:]

    [:|||||:] Banned

    Регистрация:
    29.05.2008
    Сообщения:
    77
    Одобрения:
    61
    Репутация:
    11
    Хз, я пробовал давно еще код внедрить- в опере не работало.
    А вообще недостойная новость. Во-первых, тема Контакта неактуальна и банальна, во-вторых, уязвимостей там не так уж мало- так что, на каждую заводить по теме?
     
  4. mr.The

    mr.The Elder - Старейшина

    Регистрация:
    30.04.2007
    Сообщения:
    1 126
    Одобрения:
    459
    Репутация:
    38
    ты из будущего? 0_о
     
  5. Zedobat

    Zedobat Elder - Старейшина

    Регистрация:
    24.07.2007
    Сообщения:
    154
    Одобрения:
    34
    Репутация:
    10
    На позапрошлой неделе обсуждалось на канале #rst :)
     
  6. Spyder

    Spyder Elder - Старейшина

    Регистрация:
    9.10.2006
    Сообщения:
    1 431
    Одобрения:
    1 208
    Репутация:
    475
    фф заругался на всплывающее окно
     
    Это одобряет 1 пользователь.
  7. Solide Snake

    Solide Snake Banned

    Регистрация:
    28.04.2007
    Сообщения:
    469
    Одобрения:
    841
    Репутация:
    69
    Угу, не актуальна, не считая того что это самый посещаемый ресурс в рунете))
    Уязвимостей серьёзных мало.

    З.Ы. В опере пашет
     
  8. [:|||||:]

    [:|||||:] Banned

    Регистрация:
    29.05.2008
    Сообщения:
    77
    Одобрения:
    61
    Репутация:
    11
    Посещаемый- да. Но не имеет никакой ценности, имхо...
     
  9. NeOz

    NeOz Banned

    Регистрация:
    26.07.2006
    Сообщения:
    50
    Одобрения:
    44
    Репутация:
    -5
    в опере пашет.

    реально внедрить вот такой запрос?:

    http://vkontakte.ru/mail.php?act=sent&to_id=АЙДИ_КОМУ_ОТПРАВЛЯТЬ_КУКИ&title=123&message=javascript:document.write(document.cookie);
     
  10. Kaimi

    Kaimi Well-Known Member

    Регистрация:
    23.08.2007
    Сообщения:
    1 936
    Одобрения:
    790
    Репутация:
    219
    Ты просто не умеешь их готовить (с)

    Там при отправке ещё хэш со страницы отправки берется вроде.
     
  11. Isis

    Isis Мафиозя //хекед :D

    Регистрация:
    20.11.2006
    Сообщения:
    3 484
    Одобрения:
    1 193
    Репутация:
    241
    К счастью, первый это нашел +toxa+, причем давно
     
  12. geforse

    geforse Elder - Старейшина

    Регистрация:
    2.03.2008
    Сообщения:
    704
    Одобрения:
    290
    Репутация:
    1
    XSS уже не актуальна ?
     
  13. Sharky

    Sharky Elder - Старейшина

    Регистрация:
    1.05.2006
    Сообщения:
    749
    Одобрения:
    312
    Репутация:
    46
    актуальна...всё работает
     
  14. podkashey

    podkashey С крышкой по жизни!

    Регистрация:
    18.06.2005
    Сообщения:
    784
    Одобрения:
    351
    Репутация:
    353
    Покажи как мне баги в нем, умник.
    Еще один, аналогично.
    Понимаю что это понты такие, только слова надо обосновывать - скиньте баги, можно в ПМ.
     
    Это одобряют 2 пользоветелей.
  15. etc

    etc Elder - Старейшина

    Регистрация:
    16.02.2008
    Сообщения:
    113
    Одобрения:
    175
    Репутация:
    1
    Ну, вобщем что-то там уже намутили не хорошее с Xss злые одмины :)
     
  16. AlexV

    AlexV Elder - Старейшина

    Регистрация:
    29.02.2008
    Сообщения:
    562
    Одобрения:
    558
    Репутация:
    81
    Как неактуальна!? Очень даже актуальна для виросописателей, спамеров и рекламщиков... Не так уж много!? - раз такой умный - поделись особо интересными уязвимости - как к примеру рейтинг поднять до 10 тыщ!? :))
     
    #16 AlexV, 7.06.2008
    В последний раз редактировалось: 7.06.2008
Загрузка...