05.06.2008, 00:26
|
|
Познавший АНТИЧАТ
Регистрация: 01.05.2006
Сообщений: 1,021
С нами:
10541186
Репутация:
921
|
|
Xss В Контакте
В популярной социальной сети ВКонтакте.ру, в сервисе Приложения, обнаружена XSS-уязвимость.
Она заключается в том, что в исходный код флэшки можно внедрить javascript, который при прямом доступе к флэшке исполнится, как и в IE, так и в Firefox'е. Это, конечно, разработчиками ВКонтакте учтено: прямой доступ к флэшке запрещен. Но флэшка сохраняется в кэше браузера, откуда ее можно загрузить без проблем.
На этом основан proof-of-concept. Когда флэшка сохранилась в кэше браузера, то она может открыть новое окно с ссылкой на себя, браузер ее загрузит из кэша - и javascript выполнится.
Единственное, что спасает, - это блокировщик всплывающих окон. Но обычные пользователи, видя, что открывает его ВКонтакт, блокировку снимут. Работоспособность во всех браузерах не гарантирована, проверялось на IE6 и FF3RC1.
ТЕСТ (новое окно открывается через 2 секунды)
(с) habrahabr.ru |
|
|
05.06.2008, 00:34
|
|
Members of Antichat - Level 5
Регистрация: 28.05.2007
Сообщений: 729
С нами:
9976706
Репутация:
1934
|
|
угу... в опере работает....
|
|
|
|
05.06.2008, 00:36
|
|
Banned
Регистрация: 29.05.2008
Сообщений: 116
С нами:
9448043
Репутация:
208
|
|
Хз, я пробовал давно еще код внедрить- в опере не работало.
А вообще недостойная новость. Во-первых, тема Контакта неактуальна и банальна, во-вторых, уязвимостей там не так уж мало- так что, на каждую заводить по теме?
|
|
|
|
05.06.2008, 00:51
|
|
Постоянный
Регистрация: 28.04.2007
Сообщений: 547
С нами:
10019906
Репутация:
3702
|
|
Сообщение от [:|||||:]
Хз, я пробовал давно еще код внедрить- в опере не работало.
А вообще недостойная новость. Во-первых, тема Контакта неактуальна и банальна, во-вторых, уязвимостей там не так уж мало- так что, на каждую заводить по теме?
Угу, не актуальна, не считая того что это самый посещаемый ресурс в рунете))
Уязвимостей серьёзных мало.
З.Ы. В опере пашет
|
|
|
|
05.06.2008, 00:40
|
|
Познавший АНТИЧАТ
Регистрация: 30.04.2007
Сообщений: 1,205
С нами:
10016425
Репутация:
1257
|
|
Во-первых, тема Контакта неактуальна и банальна, во-вторых, уязвимостей там не так уж мало- так что, на каждую заводить по теме?
ты из будущего? 0_о
|
|
|
|
05.06.2008, 00:43
|
|
Участник форума
Регистрация: 24.07.2007
Сообщений: 175
С нами:
9894086
Репутация:
102
|
|
На позапрошлой неделе обсуждалось на канале #rst  |
|
|
|
05.06.2008, 00:46
|
|
Members of Antichat - Level 5
Регистрация: 09.10.2006
Сообщений: 1,698
С нами:
10309346
Репутация:
4303
|
|
фф заругался на всплывающее окно
|
|
|
|
05.06.2008, 00:57
|
|
Banned
Регистрация: 26.07.2006
Сообщений: 172
С нами:
10417938
Репутация:
143
|
|
в опере пашет.
реально внедрить вот такой запрос?:
http://vkontakte.ru/mail.php?act=sent&to_id=АЙДИ_КОМУ_ОТПР АВЛЯТЬ_КУКИ&title=123&message=javascript :document.write(document.cookie);
|
|
|
|
05.06.2008, 00:53
|
|
Banned
Регистрация: 29.05.2008
Сообщений: 116
С нами:
9448043
Репутация:
208
|
|
Посещаемый- да. Но не имеет никакой ценности, имхо...
|
|
|
|
05.06.2008, 00:54
|
|
Познавший АНТИЧАТ
Регистрация: 14.01.2008
Сообщений: 1,165
С нами:
9644006
Репутация:
3099
|
|
млять но это н7икак не мировая новость имхо====Ю баги в контактах есть тема =\
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [:|||||:]](/avatars/avatar57317.jpg?718424){kind=avatar}
![Отправить сообщение для [:|||||:] с помощью AIM](fusion/misc/im_aim.gif)
![Отправить сообщение для [:|||||:] с помощью MSN](fusion/misc/im_msn.gif)
![Отправить сообщение для [:|||||:] с помощью Yahoo](fusion/misc/im_yahoo.gif)
![Аватар для [:|||||:]](/avatars/avatar57317.jpg?718449){kind=avatar}
Похожие темы
Комбинированный вид
