ВКонтакте.ру обнаружена XSS-уязвимость

image

Теги: ВКонтакте, уязвимость, XSS

В популярной социальной сети ВКонтакте.ру, в сервисе Приложения обнаружена XSS-уязвимость.

В популярной социальной сети ВКонтакте.ру, в сервисе Приложения обнаружена XSS-уязвимость.

Она заключается в том, что в исходный код флэшки можно внедрить javascript, который при прямом доступе к флэшке исполнится, как и в IE, так и в Firefox'е. Это, конечно, разработчиками ВКонтакте учтено: прямой доступ к флэшке запрещен. Но флэшка сохраняется в кэше браузера, откуда ее можно загрузить без проблем.

Когда флэшка сохранилась в кэше браузера, то она может открыть новое окно с ссылкой на себя, браузер ее загрузит из кэша - и javascript выполнится.

Единственное, что спасает, - это блокировщик всплывающих окон. Но обычные пользователи, видя, что открывает его ВКонтакт, блокировку снимут. Работоспособность во всех браузерах не гарантирована, проверялось на IE6 и FF3RC1.

Пример атаки:

http://vkontakte.ru/apps.php?act=s&id=15… (новое окно открывается через 2 секунды)


или введите имя

CAPTCHA
Страницы: 1  2  3  4  5  6  7  8  9  10  11  
1
05-06-2008 23:36:23
работает и в опере
0 |
Ы
13-11-2008 21:43:08
Бесплатно повысить себе рейтинг вконтакте?Реально! Качай новую версию Рейтинг+ 2.0 http://beta.jino-net.ru/agentvkontakte.exe
0 |
bvz
08-07-2009 15:29:58
Наõóé пошел. /
0 |
Малойка
15-03-2009 22:47:43
Программаа которая за 50 коп. поднимает рейтинг в сайте vkontakte.ru на 10голосов!!!! Вот ссылка: http://depositfiles.com/files/63720bm6l Установите ее на телефон, а потом нажимаете да, и вводите свой ID!!! Только на много не поднимайте! А то администрация сайта может удалить вашу страницу!! Удачи!!!
0 |
23-03-2009 22:42:12
че за бред вы здесь пишите, какие ещё проги поднятия рейтинга О_о
0 |
Sky-J
12-04-2010 20:45:41
Гость: Малойка Да это спам!!!
0 |
1
06-06-2008 00:21:31
нормуль)) пойду делать флэхи))
0 |
1
06-06-2008 00:33:03
усёё!! писеец буут всем контактером!)))) ][ak vkontakt!))))
0 |
1
06-06-2008 02:31:24
[FONT=Times]:Жесть аццкая... а я то обрадовался мол в Опере не катит.. =( .. Шеф прав =) поиду писать Флехи =) ...
0 |
1
06-06-2008 08:00:17
писеец буут всем контактером!)Ну, под винду уязвимостей и врусов было миллион, и пока им не песец. И тут переживут.
0 |
1
07-06-2008 15:33:19
Хе-хе... какой там пипец? пипец будет когда будет выкинута в паблик еще одна XSS о которой мало кто знает
0 |
1
06-06-2008 09:58:26
GoGoGo!
0 |
06-06-2008 10:24:21
Не тыкну!
0 |
Страницы: 1  2  3  4  5  6  7  8  9  10  11