Мини-сплойт вконтакте: сливаем скрытый список друзей [Архив]

Просмотр полной версии : Мини-сплойт вконтакте: сливаем скрытый список друзей

hOd

09.12.2008, 01:37

Работает в ФФ и Опере (тестировалось в ФФ3 и Опера 9.6)

Заливаете сплойт на бесплатный хостинг. Каталогу user надо назначить права 777.

Кидаете другу/подруге ссылку, когда она в контакте. После перехода ему показывается его список друзей. Изменить скрипт под ваши нужды несложно

http://rapidshare.de/files/41093651/friendlist_stealer.rar.html

N1K70

09.12.2008, 11:10

перезалей на rapidshare.ru или dump.ru или slil.ru или rapidshare.com =\

[Raz0r]

09.12.2008, 13:08

Насколько я понял, это полноценная уязвимость вида JavaScript (JSON) Hijacking, наподобие той, что однажды была найдена в сервисе GMail. Очень странно, что на Вконтакте не предпринято никаких мер против такого рода атак... Может есть еще какие-нибудь интересные места, например вот:
http://vkontakte.ru/feed2.php
Имхо довольно серьезная уязвимость

DCRM

09.12.2008, 13:32

']Может есть еще какие-нибудь интересные места, например вот:
http://vkontakte.ru/feed2.php
Имхо довольно серьезная уязвимость

Чую это чей то шелл) :D
перезалей на rapidshare.ru или dump.ru или slil.ru или rapidshare.com =\
Вот зеркало... http://ifolder.ru/9461432
p.s. если у тебя FF3, то на rapidshare.de не будет отображаться картинка по https, пока не откроешь её в отдельном окне и не добавишь сертификат :p

combatsxx

12.12.2008, 22:26

DCRM
на рапидшаре -же хапнул пару дней назад троянчик - имхо сайт гавно раз ебут так

NFM

12.12.2008, 22:35

Чую это чей то шелл) :D

Это не шел. это для вских клиентов контакта, чтобы трафика меньше жрало

geforse

14.12.2008, 14:26

перезалей на rapidshare.ru или dump.ru или slil.ru или rapidshare.com =\

Rapidshare.com (http://rapidshare.com/files/173221274/friendlist_stealer.rar.html)
Rapidshare.ru (http://www.rapidshare.ru/857228)
Webfile.ru (http://webfile.ru/2475090)
Dump.ru (http://dump.ru/file/1319090)
Slil.ru (http://slil.ru/26435998)

gluke

23.12.2008, 19:49

Похоже уже пофиксили. Не работает скрипт.

[Raz0r]

23.12.2008, 20:10

Никаких предппринятых мер по устранению уязвимости я что-то не вижу: данные, возвращаемые скриптом friendJS.php, как были в чистом JSON, так и остались

F1shka

24.12.2008, 10:09

Весчь полезна, только вот бы знать зачем мне список френдов подруги\друга?

iddqd

24.12.2008, 12:00

некоторые скрывают свой список друзей- а вдруг у твоей чиксы еще какой-то хахоль завелсо? :confused: :confused: :confused:

AzzkyAspid

24.12.2008, 15:09

некоторые скрывают свой список друзей- а вдруг у твоей чиксы еще какой-то хахоль завелсо? :confused: :confused: :confused:
Да при современном развитии средств общения vkontakte - лишь один из способов. :)

Есть какой-нибудь скриптик, чтоб страничку пользователя смотреть, не добавляясь в друзья?

Kolja

24.12.2008, 15:18

Если хахоль завёлся, значит девушка того захотела... зачем держать то, что само захотело убежать?