Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Социальные сети (https://forum.antichat.xyz/forumdisplay.php?f=133)

- - xss VKONTAKTE (https://forum.antichat.xyz/showthread.php?t=100257)

На многих форумах и сайтах я встричал ето :

В популярной социальной сети ВКонтакте.ру, в сервисе Приложения обнаружена XSS-уязвимость.

Она заключается в том, что в исходный код флэшки можно внедрить javascript, который при прямом доступе к флэшке исполнится, как и в IE, так и в Firefox'е. Это, конечно, разработчиками ВКонтакте учтено: прямой доступ к флэшке запрещен. Но флэшка сохраняется в кэше браузера, откуда ее можно загрузить без проблем.

Когда флэшка сохранилась в кэше браузера, то она может открыть новое окно с ссылкой на себя, браузер ее загрузит из кэша - и javascript выполнится.

Единственное, что спасает, - это блокировщик всплывающих окон. Но обычные пользователи, видя, что открывает его ВКонтакт, блокировку снимут. Работоспособность во всех браузерах не гарантирована, проверялось на IE6 и FF3RC1

Как ето здєлать ???
Помогите написать FLASH

давно уже неактуально :(

Ну и что всеодно очень нужно помогите

возми любой учеьник по флеш....

Как можна взять льбую FLASH і впихнути в ее JAVA которий будєт потом виполнят скрипт і которий будєт входити на сайт фейк І подскажите што нада туда впихнути

В популярной социальной сети ВКонтакте.ру, в сервисе Приложения обнаружена XSS-уязвимость.

Она заключается в том, что в исходный код флэшки можно внедрить javascript, который при прямом доступе к флэшке исполнится, как и в IE, так и в Firefox'е. Это, конечно, разработчиками ВКонтакте учтено: прямой доступ к флэшке запрещен. Но флэшка сохраняется в кэше браузера, откуда ее можно загрузить без проблем.

Когда флэшка сохранилась в кэше браузера, то она может открыть новое окно с ссылкой на себя, браузер ее загрузит из кэша - и javascript выполнится.

Единственное, что спасает, - это блокировщик всплывающих окон. Но обычные пользователи, видя, что открывает его ВКонтакт, блокировку снимут. Работоспособность во всех браузерах не гарантирована, проверялось на IE6 и FF3RC1
Пример атаки:

http://vkontakte.ru/apps.php?act=s&id=15… (новое окно открывается через 2 секунды)

Как ето здєлать ?????

подскажите нормальную пасивку вк, а то ту что в фильтре друзей и редактирование аудио\заметок и т.д. нормально не заюзаеш

эх были такие милые приложения,которые автоматически создавали группы.

а толку? в названиях группы всё фильтруется

Цитата:

Сообщение от vitalikis

а толку? в названиях группы всё фильтруется

мне бы найти эту программку,что бы группы регить,а потом просматривать номера групп,сечешь тему)