Мини-сплойт вконтакте: сливаем скрытый список друзей

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ

Скрыть

		ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
Мини-сплойт вконтакте: сливаем скрытый список друзей

Страница 1 из 2

Опции темы

Поиск в этой теме

Опции просмотра

Мини-сплойт вконтакте: сливаем скрытый список друзей

09.12.2008, 01:37

hOd

Новичок

Регистрация: 16.03.2008

Сообщений: 10

С нами: 9554207

Репутация: 25

Мини-сплойт вконтакте: сливаем скрытый список друзей

Работает в ФФ и Опере (тестировалось в ФФ3 и Опера 9.6)

Заливаете сплойт на бесплатный хостинг. Каталогу user надо назначить права 777.

Кидаете другу/подруге ссылку, когда она в контакте. После перехода ему показывается его список друзей. Изменить скрипт под ваши нужды несложно

http://rapidshare.de/files/41093651/friendlist_stealer.rar.html

𝕏 Twitter Reddit Telegram Копировать ссылку

09.12.2008, 11:10

~~N1K70~~

Banned

Регистрация: 02.01.2008

Сообщений: 195

С нами: 9661106

Репутация: 301

перезалей на rapidshare.ru или dump.ru или slil.ru или rapidshare.com =\

09.12.2008, 13:08

[Raz0r]

Members of Antichat - Level 5

Регистрация: 25.02.2007

Сообщений: 495

С нами: 10109126

Репутация: 1980

Насколько я понял, это полноценная уязвимость вида JavaScript (JSON) Hijacking, наподобие той, что однажды была найдена в сервисе GMail. Очень странно, что на Вконтакте не предпринято никаких мер против такого рода атак... Может есть еще какие-нибудь интересные места, например вот:
http://vkontakte.ru/feed2.php
Имхо довольно серьезная уязвимость

09.12.2008, 13:32

DCRM

Познающий

Регистрация: 12.12.2006

Сообщений: 89

С нами: 10217126

Репутация: 60

Цитата:

Сообщение от [Raz0r]

Может есть еще какие-нибудь интересные места, например вот:
http://vkontakte.ru/feed2.php
Имхо довольно серьезная уязвимость

Чую это чей то шелл)

Цитата:

перезалей на rapidshare.ru или dump.ru или slil.ru или rapidshare.com =\

Вот зеркало... http://ifolder.ru/9461432
p.s. если у тебя FF3, то на rapidshare.de не будет отображаться картинка по https, пока не откроешь её в отдельном окне и не добавишь сертификат

12.12.2008, 22:26

combatsxx

Постоянный

Регистрация: 19.10.2007

Сообщений: 523

С нами: 9769563

Репутация: 160

DCRM
на рапидшаре -же хапнул пару дней назад троянчик - имхо сайт гавно раз ебут так

12.12.2008, 22:35

NFM

Постоянный

Регистрация: 16.01.2006

Сообщений: 598

С нами: 10692326

Репутация: 531

Цитата:

Сообщение от DCRM

Чую это чей то шелл)

Это не шел. это для вских клиентов контакта, чтобы трафика меньше жрало

14.12.2008, 14:26

geforse

Постоянный

Регистрация: 02.03.2008

Сообщений: 893

С нами: 9574565

Репутация: 712

Цитата:

Сообщение от N1K70

перезалей на rapidshare.ru или dump.ru или slil.ru или rapidshare.com =\

Rapidshare.com
Rapidshare.ru
Webfile.ru
Dump.ru
Slil.ru

23.12.2008, 19:49

~~gluke~~

Banned

Регистрация: 06.06.2008

Сообщений: 96

С нами: 9436303

Репутация: 129

Похоже уже пофиксили. Не работает скрипт.

23.12.2008, 20:10

[Raz0r]

Members of Antichat - Level 5

Регистрация: 25.02.2007

Сообщений: 495

С нами: 10109126

Репутация: 1980

Никаких предппринятых мер по устранению уязвимости я что-то не вижу: данные, возвращаемые скриптом friendJS.php, как были в чистом JSON, так и остались

__________________
<? Raz0r.name — блог о web-безопасности