Хакер Destanto нашёл XSS-уязвимости на сайте «Вконтакте»

Discussion in 'Мировые новости. Обсуждения.' started by Solitude, 28 Nov 2012.

  1. Solitude

    Solitude Member

    Joined:
    29 Aug 2011
    Messages:
    445
    Likes Received:
    23
    Reputations:
    1
    Хакер Destanto нашёл XSS-уязвимости на сайте «Вконтакте»

    Хакер Destanto, также известный как Def, прислал в редакцию ][ информацию о двух незакрытых уязвимостях на сайте Vk.com. Уязвимости не представляют особой опасности для сайта, так что мы решили опубликовать их в открытом доступе. Destanto пишет, что XSS даёт доступ к нескольким пустым БД и не более.

    Суть бага в том, что любой желающий может сгенерировать страницы в разделе «Помощь» на сайте. Для этого достаточно всего лишь набрать URL такого вида:

    http://vk.com/ads?act=office_help&oid=-19542789&p=Проверка

    Вместо слова «Проверка» может быть любое слово. После этого генерируется страница в разделе «Помощь», которую кто угодно может редактировать и добавлять новый контент (скриншоты кликабельны).

    [​IMG]

    [​IMG]

    Хакер Destanto также сообщил следующую информацию:

    We are Anonymous. We are legion.
    We do not forgive. We do not forget.
    Expect us.

    28.11.2012
    http://www.xakep.ru/post/59719/
     
  2. йож

    йож Banned

    Joined:
    31 Aug 2012
    Messages:
    50
    Likes Received:
    10
    Reputations:
    0
    слова типичного говношкольника
     
  3. mr.Prezident

    mr.Prezident New Member

    Joined:
    26 Oct 2012
    Messages:
    11
    Likes Received:
    2
    Reputations:
    0
    И сразу все пошли писать на странице. Особенно порадовал парень, который ссылку на свою страничку постоянно ставит...

    тунца сосни, ок?
     
  4. йож

    йож Banned

    Joined:
    31 Aug 2012
    Messages:
    50
    Likes Received:
    10
    Reputations:
    0
    а ты наверно тоже причисляешь себя к "ононимусам" :D
     
  5. herfleisch

    herfleisch Elder - Старейшина

    Joined:
    7 Jan 2009
    Messages:
    579
    Likes Received:
    203
    Reputations:
    13
    Онанимусы.
     
  6. DeepBlue7

    DeepBlue7 Elder - Старейшина

    Joined:
    2 Jan 2009
    Messages:
    359
    Likes Received:
    50
    Reputations:
    12


    С каких это пор доступ к базам получают непосредственно через xss ? :D
     
  7. d1v

    d1v Elder - Старейшина

    Joined:
    21 Feb 2009
    Messages:
    676
    Likes Received:
    331
    Reputations:
    120
    Новость. Мировая. Хакер. Лол.
     
  8. TIMHOK

    TIMHOK Member

    Joined:
    23 Mar 2011
    Messages:
    18
    Likes Received:
    9
    Reputations:
    1
    [​IMG]
    Legivon strikes again
     
  9. Mr.Snuffer

    Mr.Snuffer Member

    Joined:
    2 Jul 2010
    Messages:
    140
    Likes Received:
    13
    Reputations:
    0
    Ты про какие сессии?
     
  10. Chrome~

    Chrome~ Elder - Старейшина

    Joined:
    13 Dec 2008
    Messages:
    936
    Likes Received:
    162
    Reputations:
    27
    Так есть же ж или ошибаюсь?
     
  11. Mr.Snuffer

    Mr.Snuffer Member

    Joined:
    2 Jul 2010
    Messages:
    140
    Likes Received:
    13
    Reputations:
    0
    Собственно сессия на vk.com -- привязана к айпи
    А сессия на login.vk.com httponly, да и у них есть основания, не привязывать ее к ip
     
  12. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886
    Хакер Destanto также сообщил следующую информацию:

    We are Anonymous. We are legion.
    We do not forgive. We do not forget.
    Expect us.

    жара :D
     
    _________________________
  13. dupD0M

    dupD0M Elder - Старейшина

    Joined:
    18 May 2010
    Messages:
    1,130
    Likes Received:
    74
    Reputations:
    34
    мир после этих слов просто трепещит от боязни услышать его ник в новостях еще раз...
    этот хекирь-стращьний чоловек
     
  14. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,816
    Likes Received:
    18,477
    Reputations:
    377
    Cookies вКонтактика привязана к IP, угонять их через XSS сейчас смысла нет (если конечно не находиться с жертвой в одной сетке, за одним NAT-ом, как например в кафешках с free WI-Fi).
     
    _________________________
  15. Onths

    Onths New Member

    Joined:
    3 May 2012
    Messages:
    57
    Likes Received:
    2
    Reputations:
    -4
    Я - охуенный хацкер анонимус.
    Я получил через XSS доступ к базам vk.
    И запостил пару песен там, где они не должны быть.
    Поклоняйтесь мне, куча быдла, которая не знает какие крутые анонимусы!

    Анонимусы спасут мир от петухов.
    ps: Мы не будем спасать мир от самих себя.
    ps2: Кто что *****нет - по ip вычислю.
     
  16. Чакэ

    Чакэ Elder - Старейшина

    Joined:
    15 Aug 2010
    Messages:
    260
    Likes Received:
    66
    Reputations:
    62
    как страшно жить.
     
  17. Lam3rsha

    Lam3rsha Member

    Joined:
    25 Oct 2008
    Messages:
    36
    Likes Received:
    8
    Reputations:
    5
    лох иди уроки учи, люди за что-то борюятся а ты тока за щеку ) (защекан)
     
    #17 Lam3rsha, 29 Nov 2012
    Last edited: 29 Nov 2012
  18. d1v

    d1v Elder - Старейшина

    Joined:
    21 Feb 2009
    Messages:
    676
    Likes Received:
    331
    Reputations:
    120
    чтоб наверняка?
     
  19. maxim2142

    maxim2142 Member

    Joined:
    31 May 2010
    Messages:
    16
    Likes Received:
    10
    Reputations:
    3
    Lam3rsha, слив засчитан :D
     
  20. PRosTo_LEva

    PRosTo_LEva Elder - Старейшина

    Joined:
    18 Apr 2007
    Messages:
    449
    Likes Received:
    132
    Reputations:
    106
    http://vk.com/ads?act=office_help&oid=-19542789&p=ололо
    =)
     
Loading...