Привет %username%! Как лето проходит?
Что хочу рассказать. Вот и мне удалось сделать червя для vk на основе xss ( пример fixed). Руководство не поддерживает багхантеров, хотя, казалось бы, компания не бедная.
Большое спасибо @_chipik и @sergeybelove за помощь в создании червя (я почему-то не мог получить доступ к dom объектам фрейма).
XSSed, епты
Однажды я прочитал новости, что хакерам таки заплатили за уязвимости . Но видимо это был специальный пиар ход для этих украинских ребят ибо более никому руководство vk не платили или как-нибудь не поощрали. Зала славы нет. С тех пор уязвимости я использую чисто для развлечения (заметьте, не для продажи). Так мы поступили, например, с багой по смене статуса (привет @MERRON ), теперь вот xss (причем далеко не первая).
Обращаюсь к руководству вконтакте — вы слишком самоуверенны. Не ошибается только тот, кто ничего не делает. А когда вы оступитесь, кто-нибудь уже будет за спиной. Множество крупных порталов уже ввели программу BugBounty, а те кто не ввели официально — часто награждают багхантеров вне всяких бумажек. Зачем настраивать против себя как черных, так и белых хакеров?
Итак, как работал этот червь. С помощью xss подгружался iframe
<iframe name=test src=//m.vk.com/like?act=publish&object=wall-27912655_111&to=wall>
nДля правильной работы необходимо было добавить sandbox="allow-same-origin allow-forms"
Заключительным шагом было нажатие на кнопку скриптом после загрузки iframe
nonload=document.getElementsByName('test')[0].contentWindow.document.getElementById('publish_add_form').submit();
nа я (чёртов нуб) делал таймаут в несколько секунд и потом пытался обратиться к кнопке.
Что получалось? Пользователь проходит по ссылке, ссылка загружает фотографию Дурова, в фрейме подгружается страница репоста записи и нажимается. Получается тот кто пройдет по ссылке — ссылка окажется на его странице. Получился бы прикольный эффект лавины.
Только так называемый червь начал набирать обороты, как (по дурацкому стечению обстоятельств) среагировали разработчики и тут же исправили. В итоге червь проработал минут 15 и собрал меньше 30 репостов (зато за сотню лайков :D).
В итоге я получил ачивку — самый короткоживущий червь вконтакте (подобных червей уже запускали с помощью активной xss и помню ещё csrf в статусе). Хотя фан получил)
Хорошего настроения тебе, %username%.
