-
ВКонтакте.ру обнаружена XSS-уязвимость
В популярной социальной сети ВКонтакте.ру, в сервисе Приложения обнаружена XSS-уязвимость. Она заключается в том, что в исходный код флэшки можно внедрить javascript, который при прямом доступе к флэшке исполнится, как и в IE, так и в Firefox'е. Это, конечно, разработчиками ВКонтакте учтено: прямой доступ к флэшке запрещен. Но флэшка сохраняется в кэше браузера, откуда ее можно загрузить без проблем.
Когда флэшка сохранилась в кэше браузера, то она может открыть новое окно с ссылкой на себя, браузер ее загрузит из кэша - и javascript выполнится.
Единственное, что спасает, - это блокировщик всплывающих окон. Но обычные пользователи, видя, что открывает его ВКонтакт, блокировку снимут. Работоспособность во всех браузерах не гарантирована, проверялось на IE6 и FF3RC1.
Пример атаки:
http://vkontakte.ru/apps.php?act=s&id=15… (новое окно открывается через 2 секунды)
securitylab.ru
Left home for a few days and look what happens...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 59
)) Открывается новое окно, при его разблокировке запускается менеджер закачек)
-
Сообщение от
ALEX(XX)
В популярной социальной сети ВКонтакте.ру, в сервисе Приложения обнаружена XSS-уязвимость...
-этот ресурс вообще одна сплошная уязвимость и кладезь адресных баз для спамеров, IMHO разумеется...
С уважением,
Alex Plutoff
А. ПЛАТОВ
-