Pull to refresh

Легальный Clickjacking ВКонтакте

Information Security *VK API *
Поговорим о виджете для авторизации.

Нам говорят, что:
С помощью виджета для авторизации Вы можете максимально просто предоставить пользователям возможность авторизовываться на Вашем ресурсе.

Также, нам говорят, что:
В результате авторизации виджет возвращает следующие поля: uid, first_name, last_name, photo, photo_rec, hash.


Рецепт:

1. Создаем приложение.
2. Добавляем виджет на наш сайт.
3. С помощью js заставляем его следовать за курсором.
4. С помощью css делаем его прозрачным.
5. Пользователь делает клик на странице.
6. ????????
7. PROFIT!

Для работы демо, вы должны быть авторизованы Вконтакте.

Демо

Я оставил полупрозрачность для лучшего понимания механики процесса. В реальной жизни значение opacity будет равно нулю.

Мне подумалось, что нехорошо данные о пользователях раздавать и я написал в службу поддержки.
Ответил мне некто Агент поддержки #920:

Это не уязвимость. Да и что в этом страшного?

Такая вот недокументированная возможность…
Only registered users can participate in poll. Log in, please.
Вы считаете, что это
10.33% Баг 337
26.34% Фича 859
63.32% Уязвимость 2065
3261 users voted. 651 users abstained.
Tags:
Hubs:
Total votes 73: ↑67 and ↓6 +61
Views 115K
Comments 52
Comments Comments 52

Posts