В популярной социальной сети ВКонтакте.ру, в сервисе Приложения, обнаружена XSS-уязвимость. Она заключается в том, что в исходный код флэшки можно внедрить javascript, который при прямом доступе к флэшке исполнится, как и в IE, так и в Firefox'е. Это, конечно, разработчиками ВКонтакте учтено: прямой доступ к флэшке запрещен. Но флэшка сохраняется в кэше браузера, откуда ее можно загрузить без проблем. На этом основан proof-of-concept. Когда флэшка сохранилась в кэше браузера, то она может открыть новое окно с ссылкой на себя, браузер ее загрузит из кэша - и javascript выполнится. Единственное, что спасает, - это блокировщик всплывающих окон. Но обычные пользователи, видя, что открывает его ВКонтакт, блокировку снимут. Работоспособность во всех браузерах не гарантирована, проверялось на IE6 и FF3RC1. ТЕСТ (новое окно открывается через 2 секунды) (с) habrahabr.ru
Хз, я пробовал давно еще код внедрить- в опере не работало. А вообще недостойная новость. Во-первых, тема Контакта неактуальна и банальна, во-вторых, уязвимостей там не так уж мало- так что, на каждую заводить по теме?
Угу, не актуальна, не считая того что это самый посещаемый ресурс в рунете)) Уязвимостей серьёзных мало. З.Ы. В опере пашет
в опере пашет. реально внедрить вот такой запрос?: http://vkontakte.ru/mail.php?act=sent&to_id=АЙДИ_КОМУ_ОТПРАВЛЯТЬ_КУКИ&title=123&message=javascript:document.write(document.cookie);
Покажи как мне баги в нем, умник. Еще один, аналогично. Понимаю что это понты такие, только слова надо обосновывать - скиньте баги, можно в ПМ.
Как неактуальна!? Очень даже актуальна для виросописателей, спамеров и рекламщиков... Не так уж много!? - раз такой умный - поделись особо интересными уязвимости - как к примеру рейтинг поднять до 10 тыщ!? )
