Последние новости
Безопасность /

ВКонтакте.ру обнаружена XSS-уязвимость

В известной социальной сети vkontakte.ru, в сервисах выявлена XSS-уязвимость, На базе которой появилось множество программных средств, специализирующихся на взломе пользователей, такие как vkeiditor, vkshtorm, reVKecc32 и другие.

Смысл заключатся в следующем: в исходный код php можно внедрить javascript, который в свою очередь при прямом доступе к mysql исполнится по сетевым протоколам. Разработчики Вконтакте это учли, вследствие чего доступ напрямую к серверам запрещен. Однако скрипты сохраняется непосредственно в кэше, откуда она без проблем загружается.

После сохранения в кэше системы скрипт может открыть новый тоннель с ссылкой на себя, после чего он загрузит её из кэша и javascript выполнится. Блокировщик UPD - единственное, что спасает, но обычные пользователи при виде открывающегося Вконтакте данную настройку не используют. Работоспособность проверялась Win Nix системах и FF3RC1, в других операционных системах с другими протоколами не гарантированна.

У нас находят:
  • xss червь
  • как найти xss уязвимость в контакте
  • xss уязвимости вконтакте
  • xss черви где размещать
  • VKEiditor
2 комментария
turin39 / 5 июля 2012 / 22:31
ВКонтакте.ру обнаружена XSS-уязвимость зная этот сайт не первый день я могу сказать, что этот сайт именно проще сломать. Так как сейчас существует очень много программ которые помогают сломать аккаунт любого человека зарегистрированного на этом сайте. Например мой аккаунт уже были зломалы два раза.
Надежда / 6 июля 2012 / 16:29
ВКонтакте.ру может конечно и есть какие уязвимости, но администраторы четко следят за тем что бы в эту социальную сеть не проникли вирусы, они что то постоянно для этого предпринимают, потому что злоумышленников всяких хватает, например которые ненавидят контакт. Я считаю что самая качественная социальная сеть так это ВКонтакте.ру.
имя


Популярые сообщения