Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 44
Со вконтактом не вышло (не показывает персональных данных). С фейсбуком — работает (показывает аватар и количество друзей).
Добавил скрины. Проверил PoC в хроме, опере, фф, вроде нигде ничего не едет (ессно, нужно быть авторизованным в соц. сетях).
Хром 24, Авторизован.
Результат
Странно, тоже 24 хром (проверил и под линуксом. и под виндой).
Какое разрешение? И это… FB?
Какое разрешение? И это… FB?
Проверил консоль: все дело в прокси, который режет доступ к userapi.com/js/api/openapi.js?34, мотивируя это тем, что: Content categorization: «Malicious Sites».
Mac Chrome 24
Грустно иметь дело с зоопарком браузеров и платформ.
Едет серый прямоугольник
Грустно иметь дело с зоопарком браузеров и платформ.
mac, chrome 24.0.1312.57
Вот, сегодня наткнулся vidoser.org/blog/vk/funny/ :-))))
Каков, в итоге, правильный ответ на вопрос из статьи?
Значит… мы можем логировать всех пользователей, которые посетят наш сайт и которые есть в ВК?
Ещё с месяц назад увидел этот трюк.
Весьма элегантное решение на мой взгляд, если, конечно, конечный пользователь есть в соцсетях
Весьма элегантное решение на мой взгляд, если, конечно, конечный пользователь есть в соцсетях
А мне как-то пришло письмо на электронную почту от фотостраны, где было сказано что мой друг оставил там мне личное сообщение. Внутри письма была аватарка друга из вконтакте и взятые оттуда его имя и фамилия. Разумеется, он там не регистрировался.
При переходе по ссылке из письма я увидел, что на мой e-mail уже заведен аккаунт, и от меня требуется только ввести дополнительные данные (нет, %USERNAME%, номера телефона они не просили!). Видимо, ребята таким образом пытаются поднять посещаемость проекта. «Гениальность» создателей очевидна:
— взять email из спам-баз
— пробить привязанный к адресу аккаунт соцсети
— рандомно выбрать друга, вытащить аватарку
— отправить письмо
— PROFIT!
При переходе по ссылке из письма я увидел, что на мой e-mail уже заведен аккаунт, и от меня требуется только ввести дополнительные данные (нет, %USERNAME%, номера телефона они не просили!). Видимо, ребята таким образом пытаются поднять посещаемость проекта. «Гениальность» создателей очевидна:
— взять email из спам-баз
— пробить привязанный к адресу аккаунт соцсети
— рандомно выбрать друга, вытащить аватарку
— отправить письмо
— PROFIT!
Метод красивый. Лекарство есть — контакту и фейсбуку надо прописать для всех страниц X-Frame-Options DENY и разрешить открытие во фрейме только для виджетов.
Ну так это виджеты и есть, предназначенные для открытия в iframe. Или я вас неправильно понял?
Так это и есть виджет авторизации, а поверх него div'ы с position:relative
Самое эффективное лекарство - выходить из аккаунта.
Куда более эффективно (при наличии Chrome) поставить в настройках галочку «Блокировать данные и файлы cookie сторонних сайтов». Выходить из аккаунта не потребуется, но и куки вконтакта не отправятся на сторонние сайты — эффект тот же.
Вот, правда, виджеты комментирования также работать не будут. Но для тех, кто ими не пользуется — хороший способ.
Вот, правда, виджеты комментирования также работать не будут. Но для тех, кто ими не пользуется — хороший способ.
проблема проста — vk работают ламеры в безопасности неспособные поставить анти clickjacking X-FRAME-OPTIONS:sameorigin.
Так это, тут разве не API используется? Его-то никто не будет делать sameorigin'овым.
я говорю про m.vk.com
эта проблему еще год назад была известна см демо
homakov.blogspot.com/2012/06/saferweb-with-new-features-come-new.html
у них есть фреймбрейкер, который нефига не решение проблемы
вк щас не такой дырявый только из за кучи заплаток(они даже csrf токен иногда в гете передают лол). в тоже время сама архитектура чисто пхп-шная и кривая
эта проблему еще год назад была известна см демо
homakov.blogspot.com/2012/06/saferweb-with-new-features-come-new.html
у них есть фреймбрейкер, который нефига не решение проблемы
вк щас не такой дырявый только из за кучи заплаток(они даже csrf токен иногда в гете передают лол). в тоже время сама архитектура чисто пхп-шная и кривая
сотрудники ВК сидящие на Хабре могут только молча ставить минусы за, может и немного агрессивную критику, и блокировать эти аппы, цирк :) предполагаю что мой комментарий тоже заминусуют?)
Видел подобное в рекламных блоках «vk-message», но там фото берется из фрейма с виджетом комментариев.
Вот фрейм: promo.vmirenas.ru/vk/comment.html
Вот фрейм: promo.vmirenas.ru/vk/comment.html
Отсюда фото и имя можно брать: vk.com/widget_auth.php?app=3388928&width=300px
Тоже попробовал замутить vidoser.net/
Забанили приложение в ВК :0 Приду домой, переделаю.
Единственное решение для вк/фб в данном случае вообще не выводить данных пользователей во фрейме.
Единственное решение для вк/фб в данном случае вообще не выводить данных пользователей во фрейме.
Теперь каждый второй школьник получил готовый фейк под смс, зачем же вы так :)
решение спамеров — гениально, втыкал минут 5 когда первый раз увидел :)
Весьма сложно угадать точную позицию элементов в любом браузере, поэтому у меня (Хромиум 24 под Линуксом), например, вот такая печаль:
Но вообще техника, конечно, интересная.
Скрытый текст
Но вообще техника, конечно, интересная.
Есть простое решение этой проблеммы — логниться в контактик по https
Или принудительно на стороне пользователя включить https для контактика и фейсбука и тп
к примеру в лисе есть https everywhere плагин
Или принудительно на стороне пользователя включить https для контактика и фейсбука и тп
к примеру в лисе есть https everywhere плагин
Как HTTPS влияет на работу встраиваемых виджетов?
Никак.
Никак.
я счас авторизован в контактике и в лицокниге — и у меня в приведенном примере ничего не появляется — и с тех пор, как хожу по https вконтактик — все эти дурилки обламываются
Еще, скажите, все виджеты ВК отваливаются, при авторизации через https :)
А пример не работал, так как приложение заблочили. Обновил пример — sergeybelove.ru/tools/socialnets-phishing/vk.php
А пример не работал, так как приложение заблочили. Обновил пример — sergeybelove.ru/tools/socialnets-phishing/vk.php
проверьте: залогинтесь по https и наберите:
vk.com/widget_auth.php?app=произвольный_номер&width=300px
3388928- забанили из за наплыва посетителей.
vk.com/widget_auth.php?app=произвольный_номер&width=300px
3388928- забанили из за наплыва посетителей.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Фишинг с использованием данных из VK/Facebook