Комментарии 41
за сообщение о такой ошибке MailRu Group выплатили бы щедрое баунти
А сами багоси пишут, что не платили в течение целого года, именно поэтому и запустили сабж
Говорят у них (VK) даже политика CSP не настроена
Шикарная работа, багосы
причем за сообщение о такой ошибке MailRu Group выплатили бы щедрое баунти
Как человек, который сообщал в Баг Баунти о возможности доступа к многомиллионному количеству аккаунтов в ВК, а через месяц получивший крайне щедрое «мы знаем об этом из внутренних источников» я больше не хочу сообщать туда что-то серьёзное. Сейчас думаю о том, что делать с другими интересными багами.
Уже изменил последний абзац, но как багхантера понимаю Вас. Не применимо к ББ ВК, а в целом, примеры приводить не буду, по чатикам и так все о них знают.
что делать с другими интересными багами
Примерно то же, что произошло с одним из багов сегодня
А, ясно, зря я надеялся на рассмотрение моего medium-репорта за обозримый срок (на данный момент больше месяца уже), раз critical никто не смотрит...
совет — выйдите из ВК и не заходите.
У меня пару вопросов от нуба
1)В вк в сообщениях можно посылать сырые html теги? в данном случае iframe с любыми параметрами
2)Как вк(любой сайт) должен защищаться от такого, когда в его теле загружается iframe с левого домена.
1)В вк в сообщениях можно посылать сырые html теги? в данном случае iframe с любыми параметрами
2)Как вк(любой сайт) должен защищаться от такого, когда в его теле загружается iframe с левого домена.
1) Нет, это следствие некорректной обработки ссылки
2) В данной уязвимости не было iframe с левым доменом
)Как вк(любой сайт) должен защищаться от такого, когда в его теле загружается iframe с левого домена.
CSP: frame-src
Вот тут чел расписал более коротко и ёмко vk.com/wall278247703_262
Он как-то несколько странно всё описал. Во-первых, про Вики-страницы совершенно ничего не понятно — наверное имелось в виду, что править разметку HTML можно только при редактировании вики-страницы, но никак не при отправке обычного сообщения в ЛС — хотя механизм вставки видеоролика и там и там должен быть примерно одинаковым по идее. И дальше про iframe немного намудрил: вк получает результат парсинга страницы с видеозаписью через локальный скрипт-«гейт», расположенный на домене vk.com, и делается это через обычный XHR скорее всего (в ЛС точно именно так всё происходит). Таким образом, вредоносный скрипт подключается прямо в head текущей страницы.
А вот что именно он делает — автор толком не рассказал, а ведь это как раз достаточно интересно.
А вот что именно он делает — автор толком не рассказал, а ведь это как раз достаточно интересно.
Всё там хорошо описано.
Что делает? Перебирает группы пользователя в цикле и размещает пост там, где это можно. Это же логично. А если нет — можно самому открыть скрипт (там есть скрин, где ссылка на скрипт на гитхабе есть. Достаточно вбить этот url в адресную строку и увидите, как оно работает). Но такой скрипт написать — как раз плюнуть. Гораздо сложнее найти xss-уязвимость и внедрить его. А как это было сделано — об этом как раз автор и рассказывает.
Да я-то знаю, что он делает. Но не все же тут JS кодеры, кто читает эту новость (возможно). На самом деле, тут есть три интересных момента:
1) То, что мы внедрили вредоносный скрипт прямо в документ, дало нам возможность читать через XHR ответы от share.php
2) share.php выдаёт список групп и hash, причём последний — не является одноразовым, поэтому и возможна рассылка в цикле подряд без его обновления
3) Капчи при этом действительно нет
1) То, что мы внедрили вредоносный скрипт прямо в документ, дало нам возможность читать через XHR ответы от share.php
2) share.php выдаёт список групп и hash, причём последний — не является одноразовым, поэтому и возможна рассылка в цикле подряд без его обновления
3) Капчи при этом действительно нет
Так всегда бывает, когда фронтендом занимаются бэкендеры.
НЛО прилетело и опубликовало эту надпись здесь
Не в этом суть. Отсутствие санитайзинга пользовательского контента по белому списку — это детский сад. Что понятно любому, кто знаком со всем многообразием тегов, аттрибутов и, внезапно, css-свойств.
А что можно через CSS-свойства сделать плохого? Кроме раздражающей анимации
Вытащить часть пароля/текста, используя шрифтыКруто! А как это пофиксили в итоге?
Из статьи по ссылке:
Chrome отказались исправлять баг, сославшись на спецификацию.
https://bugs.chromium.org/p/chromium/issues/detail?id=543078
I reported this trick to Chrome Team but it has been marked WontFix on Issue 543078.
Chrome отказались исправлять баг, сославшись на спецификацию.
https://bugs.chromium.org/p/chromium/issues/detail?id=543078
Самые эпичные — это -moz-binding в мозилле и expression в ишаке. Но эти лавочки уже прикрыли.
Черномырдин (с)
Лавров (с)
Лавров (с)
Получилось аж микростихотворение.
А что именно из Черномырдина?
НЛО прилетело и опубликовало эту надпись здесь
Извечные проблемы России — дураки, дороги, а теперь еще и социальные сети.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Массовый взлом ВКонтакте [XSS-червь]