Мини-сплойт вконтакте: сливаем скрытый список друзей
 

Работает в ФФ и Опере (тестировалось в ФФ3 и Опера 9.6)

Заливаете сплойт на бесплатный хостинг. Каталогу user надо назначить права 777.

Кидаете другу/подруге ссылку, когда она в контакте. После перехода ему показывается его список друзей. Изменить скрипт под ваши нужды несложно

http://rapidshare.de/files/41093651/friendlist_stealer.rar.html

перезалей на rapidshare.ru или dump.ru или slil.ru или rapidshare.com =\

Насколько я понял, это полноценная уязвимость вида JavaScript (JSON) Hijacking, наподобие той, что однажды была найдена в сервисе GMail. Очень странно, что на Вконтакте не предпринято никаких мер против такого рода атак... Может есть еще какие-нибудь интересные места, например вот:
http://vkontakte.ru/feed2.php
Имхо довольно серьезная уязвимость

Чую это чей то шелл) :D
Вот зеркало... http://ifolder.ru/9461432
p.s. если у тебя FF3, то на rapidshare.de не будет отображаться картинка по https, пока не откроешь её в отдельном окне и не добавишь сертификат :p

DCRM
на рапидшаре -же хапнул пару дней назад троянчик - имхо сайт гавно раз ебут так

Это не шел. это для вских клиентов контакта, чтобы трафика меньше жрало

Rapidshare.com
Rapidshare.ru
Webfile.ru
Dump.ru
Slil.ru

Похоже уже пофиксили. Не работает скрипт.

Никаких предппринятых мер по устранению уязвимости я что-то не вижу: данные, возвращаемые скриптом friendJS.php, как были в чистом JSON, так и остались

Весчь полезна, только вот бы знать зачем мне список френдов подруги\друга?