Старый 29.10.2010, 15:42   #1
Dr.TRO
 
Аватар для Dr.TRO
 
Регистрация: 06.07.2010
Сообщений: 90
Репутация: 21
По умолчанию Две пассивные XSS вконтактике

Павел дуров видать настолько спешил угнаться за фейсбуком и твитером что забыл о безопасности.
Вообще введите в этот "статичный статус"
Код:
<a href="javascript:alert('0wn3d');"/>0wn3d alert</a>
и получите полностью работающий хтмл(правда он таки фильтруется но фильтр на стороне сервера и скрипт просто грубым методом шлет серверу и пихает не его ответ а то что вы ввели в хтмл), т.е. ссылку которая при нажатии выдаст алерт 0wn3d. (тестил ФФ, Опера отработали)

алсо на стенке в этой изменялке статуса
Код:
<div style="position:fixed;top:0px;left:0px;width:100%;height:100%;z-index:999;background-color:white;text-align:center;"><br/><br/><br/><br/><br/>0wn3d</div>
здесь уже некоректно работают фильтры, и тоже "эвалят" хтмл. (ФФ отработал а опера нет, видать опять несостыковка возможностей js)

В принципе уязвимости сами по себе ничего не несут, но при правильном использовании СИ могут принести толк.
__________________
http://fc01.deviantart.net/fs48/f/20...eyecixramd.png
http://img156.imageshack.us/img156/2...userbartd7.png
Цитата:
root@rdot.org ~ # perl -MAcme::BadExample
Dr.TRO вне форума   Ответить с цитированием
Старый 29.10.2010, 15:56   #2
oRb
 
Аватар для oRb
 
Регистрация: 01.07.2010
Сообщений: 319
Репутация: 138
По умолчанию

Цитата:
правда он таки фильтруется но фильтр на стороне сервера и скрипт просто грубым методом шлет серверу и пихает не его ответ а то что вы ввели в хтмл
И как вы будете это эксплуатировать? Попросите пользователя ввести ваш код в статус? оО
__________________
Не оказываю никаких услуг.
I don't provide any services.
oRb вне форума   Ответить с цитированием
Старый 29.10.2010, 16:11   #3
Dr.TRO
 
Аватар для Dr.TRO
 
Регистрация: 06.07.2010
Сообщений: 90
Репутация: 21
По умолчанию

Цитата:
В принципе уязвимости сами по себе ничего не несут, но при правильном использовании СИ могут принести толк.
"О привет! как делишки?) А я вот знаю способ как рейтинг пополнить)" ну это грубовато нужно общение + акк с рейтом/подарками и заинтриговать, если человека заинтересует он полюбому сделает, и впихнуть даже iframe в статус с ссылкой на фейк. Вообщем все зависит от вашей фантазии и уровня мышления.
__________________
http://fc01.deviantart.net/fs48/f/20...eyecixramd.png
http://img156.imageshack.us/img156/2...userbartd7.png
Цитата:
root@rdot.org ~ # perl -MAcme::BadExample
Dr.TRO вне форума   Ответить с цитированием
Старый 29.10.2010, 16:38   #4
oRb
 
Аватар для oRb
 
Регистрация: 01.07.2010
Сообщений: 319
Репутация: 138
По умолчанию

javascriptayload уже перестали вставлять в адресную строку, а туда будут?
__________________
Не оказываю никаких услуг.
I don't provide any services.
oRb вне форума   Ответить с цитированием
Старый 29.10.2010, 19:15   #5
Dr.TRO
 
Аватар для Dr.TRO
 
Регистрация: 06.07.2010
Сообщений: 90
Репутация: 21
По умолчанию

oRb злоба++ понимает что такое javascriptayload так что не пробуй
а простые смертные если правильно разводить поведутся.
__________________
http://fc01.deviantart.net/fs48/f/20...eyecixramd.png
http://img156.imageshack.us/img156/2...userbartd7.png
Цитата:
root@rdot.org ~ # perl -MAcme::BadExample
Dr.TRO вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot