Форум АНТИЧАТ - Xss В Контакте

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Мировые новости (https://forum.antichat.xyz/forumdisplay.php?f=23)

- - Xss В Контакте (https://forum.antichat.xyz/showthread.php?t=72677)

Xss В Контакте

В популярной социальной сети ВКонтакте.ру, в сервисе Приложения, обнаружена XSS-уязвимость.

Она заключается в том, что в исходный код флэшки можно внедрить javascript, который при прямом доступе к флэшке исполнится, как и в IE, так и в Firefox'е. Это, конечно, разработчиками ВКонтакте учтено: прямой доступ к флэшке запрещен. Но флэшка сохраняется в кэше браузера, откуда ее можно загрузить без проблем.

На этом основан proof-of-concept. Когда флэшка сохранилась в кэше браузера, то она может открыть новое окно с ссылкой на себя, браузер ее загрузит из кэша - и javascript выполнится.

Единственное, что спасает, - это блокировщик всплывающих окон. Но обычные пользователи, видя, что открывает его ВКонтакт, блокировку снимут. Работоспособность во всех браузерах не гарантирована, проверялось на IE6 и FF3RC1.

ТЕСТ (новое окно открывается через 2 секунды)

(с) habrahabr.ru

угу... в опере работает....

Хз, я пробовал давно еще код внедрить- в опере не работало.
А вообще недостойная новость. Во-первых, тема Контакта неактуальна и банальна, во-вторых, уязвимостей там не так уж мало- так что, на каждую заводить по теме?

Цитата:

Во-первых, тема Контакта неактуальна и банальна, во-вторых, уязвимостей там не так уж мало- так что, на каждую заводить по теме?

ты из будущего? 0_о

На позапрошлой неделе обсуждалось на канале #rst :)

фф заругался на всплывающее окно

Цитата:

Сообщение от [:|||||:]

Угу, не актуальна, не считая того что это самый посещаемый ресурс в рунете))
Уязвимостей серьёзных мало.

З.Ы. В опере пашет

Посещаемый- да. Но не имеет никакой ценности, имхо...

млять но это н7икак не мировая новость имхо====Ю баги в контактах есть тема =\

в опере пашет.

реально внедрить вот такой запрос?:

http://vkontakte.ru/mail.php?act=sent&to_id=АЙДИ_КОМУ_ОТПР АВЛЯТЬ_КУКИ&title=123&message=javascript :document.write(document.cookie);

Цитата:

Посещаемый- да. Но не имеет никакой ценности, имхо...

Ты просто не умеешь их готовить (с)

Цитата:

реально внедрить вот такой запрос?:

Там при отправке ещё хэш со страницы отправки берется вроде.

К счастью, первый это нашел +toxa+, причем давно

Цитата:

Сообщение от Isis

К счастью, первый это нашел +toxa+, причем давно

XSS уже не актуальна ?

актуальна...всё работает

Цитата:

во-вторых, уязвимостей там не так уж мало- так что, на каждую заводить по теме?

Покажи как мне баги в нем, умник.

Цитата:

млять но это н7икак не мировая новость имхо====Ю баги в контактах есть тема =\

Еще один, аналогично.
Понимаю что это понты такие, только слова надо обосновывать - скиньте баги, можно в ПМ.

Ну, вобщем что-то там уже намутили не хорошее с Xss злые одмины :)

Цитата:

Как неактуальна!? Очень даже актуальна для виросописателей, спамеров и рекламщиков... Не так уж много!? - раз такой умный - поделись особо интересными уязвимости - как к примеру рейтинг поднять до 10 тыщ!? :))

Цитата:

Сообщение от podkashey

Покажи как мне баги в нем, умник.

Еще один, аналогично.
Понимаю что это понты такие, только слова надо обосновывать - скиньте баги, можно в ПМ.

я понимаю что вы тусуетесь в закрытых группах и у вас есть отдельные темы, посвященные уязвимостям, может даже сотням, одного и того же ресурса и созданны для обсуждения отдельно, но в данном случае тут в паблике создана тема про баги в контактах ---
==тут==
https://forum.antichat.ru/thread45578-vkontakte.html
именно своим постом я и имел это ввиду, если показалось не что другое, что ж значит хреново выразился.