Мини-сплойт вконтакте: сливаем скрытый список друзей

Работает в ФФ и Опере (тестировалось в ФФ3 и Опера 9.6)

Заливаете сплойт на бесплатный хостинг. Каталогу user надо назначить права 777.

Кидаете другу/подруге ссылку, когда она в контакте. После перехода ему показывается его список друзей. Изменить скрипт под ваши нужды несложно

http://rapidshare.de/files/41093651/friendlist_stealer.rar.html

 

перезалей на rapidshare.ru или dump.ru или slil.ru или rapidshare.com =\

 

Насколько я понял, это полноценная уязвимость вида JavaScript (JSON) Hijacking, наподобие той, что однажды была найдена в сервисе GMail. Очень странно, что на Вконтакте не предпринято никаких мер против такого рода атак... Может есть еще какие-нибудь интересные места, например вот:
http://vkontakte.ru/feed2.php
Имхо довольно серьезная уязвимость

 

Чую это чей то шелл)

Вот зеркало... http://ifolder.ru/9461432
p.s. если у тебя FF3, то на rapidshare.de не будет отображаться картинка по https, пока не откроешь её в отдельном окне и не добавишь сертификат

 

DCRM
на рапидшаре -же хапнул пару дней назад троянчик - имхо сайт гавно раз ебут так

 

Это не шел. это для вских клиентов контакта, чтобы трафика меньше жрало

 

Rapidshare.com
Rapidshare.ru
Webfile.ru
Dump.ru
Slil.ru

 

Похоже уже пофиксили. Не работает скрипт.

 

Никаких предппринятых мер по устранению уязвимости я что-то не вижу: данные, возвращаемые скриптом friendJS.php, как были в чистом JSON, так и остались

 

Весчь полезна, только вот бы знать зачем мне список френдов подруги\друга?

 

некоторые скрывают свой список друзей- а вдруг у твоей чиксы еще какой-то хахоль завелсо?

 

Да при современном развитии средств общения vkontakte - лишь один из способов.

Есть какой-нибудь скриптик, чтоб страничку пользователя смотреть, не добавляясь в друзья?

 

Если хахоль завёлся, значит девушка того захотела... зачем держать то, что само захотело убежать?