Обработка эмодзи «ВКонтакте» позволяла осуществить XSS-атаку

Исследователь компании ONsec Дмитрий Бумов обнаружил достаточно интересную уязвимость в социальной сети «ВКонтакте», позволяющей осуществить XSS-атаку. Брешь существовала из-за некорретной обработки эмодзи.

Эксперт обнаружил, что если в личной переписке добавить в свое сообщение символы Unicode вместе с вредоносным JavaScript-кодом, социальная сеть при конвертации символов в эмодзи обработает вредоносный скрипт. Обычно после фильтрации входных данных «ВКонтакте» не обрабатывает сторонние сценарии, но добавление символов Unicode позволяет обойти защиту.

Для того чтобы проверить свою находку, Бумов опубликовал в одном из сообществ «ВКонтакте» запись о том, что в соцсети появились секретные анимированные эмодзи. Для того чтобы их использовать, пользователям предлагалось скопировать код в форму отправки сообщения. В коде содержался сценарий, выводящий на экран надпись «You hacked» («Вы взломаны») и осуществлявший репост записи на страницу жертвы.

В интервью изданию TJournal исследователь сообщил, что о существовании ошибки он знал еще с 2014 года, но у него не хватало времени на ее проверку. После небольшого «полевого тестирования» уязвимость была подтверждена, после чего Бумов сообщил о ней администрации соцсети. Несмотря на то, что ошибки типа self-XSS не принимают участия в программе вознаграждения за обнаружение брешей, разработчики выплатили Бумову $100 за открытый им новый вектор атаки.