Раздражающие полоски будут по всему экрану с диалогом вконтакте, если скопировать код ниже и отправить кому то в сообщении
Так же это сработает в комментариях к альбомам, фотографиям, сообщениям, вобщем, везде, но в диалогах лучше всего
Они очень мешают и раздражают, попробуйте кому то отослать их 😉
Вот. побродил по вашему сайту, нашел кое-что интересное для себя, и хочу
поделиться с вами кое-какой информацией. Может будет интересно. Навеяно
статьей про то, как чаты поломали. Хотя действительно чат ломать – пара
пустяков, но смотря какой чат еще. :-)))
1. Дырка в чате http://chat.chuvashia.com
В общем бываю я иногда (редко очень :-((, но все ж заглядываю) на чате
"Город над Волгой" (http://chat.chuvashia.com). Физически находится в
Чебоксарах – мой родной город, так что сами понимаете, иногда ностальгия
начинает мучить, так что сил нет терпеть, просто приходишь туда и с
земляками (больше с землячками конечно :-)), а их там много) душу просто
отводишь.
Ну вот значит. Залазим на чат под ником nick. Ага. залезли. Смотрим
на нижний фреймик. Сохраняем его у себя и внимательно наблюдаем.
Первый прикол.
Смотрим на вторую форму. Дальше будут сокращенные цитаты:
ага. все ясно. Так, заменяем на следующую конструкцию
Заметили 10 отличий? :-))). Ну что. Пробуем ввести имя того, кто в
чате сидит, например, "ibz". Жмем кнопку. Ой. ibz ушел.
Странно. опять зашел, еще раз повторили операцию. Ой. Опять
ушел. Все. работает значит :-))))
Сам в это время в чате болтаю, с девчонкой одной. Назовем ее Земфира.
nick: Земфира ты фокусы любишь?
Земфира: люблю :-)))
nick: А есть щас в чате, кто тебя чем-нибудь обидел?
Земфира: Зидан
nick: зидан, говоришь?
А сам в это время его убиваю :-)))
nick: ой, смотри, чо-то он вылетел :-)))?
Земфира: :-)), я уж подумала что это ты :-))))
Зидан в это время еще раз заходит, и я его еще раз выкидываю.
nick: да нет, что ты, как я могу это сделать, это ж только админы
могут, да и то, зидан же админ, его выкинуть нельзя :-)))?
Зидан заходит еще раз и еще раз, и все так же вылетает
Земфира: Да нет! это ты! Классно, я тоже так хочу! :-))))
Пока я ей обьяснял, что да как, зидан так и не появился. Видать комп
перегружал бедолага :-)))). Ага вот он снова появился. Тут мне
конечно нужно было остановится, но раз уж взял заказ, то выполняй
его до конца. В общем бедный зидан пробовал влезать в чат, успевал
бросить одну фразу (или не успевал, зависело от моей реакции :-))) и
сразу же вылетал еще раз 15 наверно. Ну потом они конечно
догадались, выкинули ту девчонку, я выкинул того, кто ее выкинул,
меня тоже выкинули. В общем было весело. Мне прикрыли ип – я залез
через проксю – посмотрел, что там творится – а там трупы, трупы.
зидан озверел, понял наконец, что произошло и просто всех подряд
убивал :-))) Вечеринка удалась :-)))))
Мораль.
Ошибка у них (создателей чата) была в том, что они при action=logof
не проверяли userid (а это уникальный параметр, присваивается
каждому входящему свой, случайным образом), и выкидывали сразу по
одному только username.
Эта ошибка сразу же была пофиксена, поэтому на этом чате ее не
ищите, ищите на других – наверняка она у многих встречается, не на
всех чатах, например, уникальными userid пользуются. У многих все
гораздо проще :-))))
Второй прикол.
Смотрим теперь на первую форму :-)))) Надо сказать, что тэги в этом чате
запрещены, и поэтому особо не побалуешься. Шрифт не поменяешь,
размер не увеличишь. Обидно. Но не страшно. иба как говорится на
каждую отвертку есть труба с лабиринтом (звучит не так конечно, но матом
мы ругаться не будем :-))))
Смотрим на первую форму. оля-ля-ля. сколько параметров, некоторые и
не используются. О. кажется нашли что надо. среди прочих там есть
и такой:
Быстренько меняем эту конструкцию на свою:
Так. сделали то что нужно. открываем то что получилось. и в нашем
поле вводим следующее:
red Face=Arial Size=6
кто догадался – это мы тэг просто своими параметрами дополнили
:-)))) Набиваем и отправляем свой текст – оп-па. Большая жирная
красная надпись :-))) (И смачный шлепок от админов за ваши баловства
:-)))))
Ну вот, теперь мы крутые, как админы можем красиво писать :-)). Теперь
другая фишечка. а не попробовать ли нам поставить вот так вот
Правильно, правильно догадались. Ставим и что получаем в итоге?
Страничка с сообщениями "повисает", и не думай что это у тебя одного
так :-)))) У всех виснет. Дело в том, что там яваскриптик стоит, а
он как раз на этой " спотыкается, возникает ошибка, и страничка дальше
не грузится. по крайней мере у многих. :-))) НУ что. гадость это
конечно порядочная, но что поделать – аляфер ком аляфер как говорится
:-))) Можно конечно утонченней сделать – послать такое сообщение в
приват врагу и он лишается привата на некоторое (иногда даже очень
длительное :-)))) время.
Ну что значит, рассказал я одному знакомому значит, он и побаловался
немножко :-)))). В общем чат на ремонте у них сейчас :-))))
Мораль.
Ошибка у них в том что:
первое – они не проверяли то, что именно приходит по параметру colname
второе – они не конвертили " в " (хотя даже если б и конвертили –
все равно неправильно было бы :-)))). Ладно хоть догадались > и
&rt убирать. а то сами понимаете:
&rt< дальше любой тэг, и пиши пропало. :-))))
Еще раз повторюсь, эти ошибки убрали уже (они старую версию чата вроде
загрузили – может и ее заодно проверить думаю?)
Специалист по безопасности ONsec Дмитрий Бумов обнаружил уязвимость во «ВКонтакте»: при отправке смайликов через символы Unicode окно для написания сообщений позволяло выполняться скриптам JavaScript, из-за чего злоумышленники могли производить действия с аккаунтом пользователя: например, от его имени репостить чужие записи. «ВКонтакте» закрыла уязвимость и выплатила хакеру вознаграждение.
Для тестирования обнаруженной уязвимости Бумов рассказал в своём блоге Bo0om.ru о якобы недавно появившихся во «ВКонтакте» анимированных смайликах. На сайте утверждалось, что смайлики пока секретные, поэтому для их отправки нужно скопировать код и вставить в окно набора сообщения.
Хотя сайт и выглядит подозрительно, пользователи могли поверить ему хотя бы из-за существования «секретных» смайликов в Skype. Кроме того, в октябре Apple выпустила iOS 9.1 с поддержкой новых эмодзи: это могло дополнительно сбить людей с толку.
Однако при копировании смайликов (их самих или соответствующей им в стандарте Unicode последовательности символов) в содержимое буфера обмена помещалось не анимированное изображение, а существующий эмодзи-смайлик вместе со строкой кода на JavaScript.
Бумов поместил в код предупреждение «You hacked» и действие репоста. Когда ничего не подозревающий пользователь пытался послать кому-либо анимацию, на его странице незаметно появлялась запись из сообщества Bo0om во «ВКонтакте», причём для этого даже не требовалось нажимать кнопку отправки сообщения.
Как рассказал TJ сам Бумов, во «ВКонтакте» нельзя просто так исполнить JavaScript-код в окне набора сообщения: если скопировать туда инструкцию формата , то ничего не произойдёт. Однако если слева от сообщения будет стоять смайлик эмодзи, «ВКонтакте» преобразует символ в изображение и одновременно выполнит сопровождающий его код, так как система не подозревает, что он может быть написан злоумышленником.
Бумов опробовал работу уязвимости 28 октября после того, как ему вновь о ней напомнили, но за сутки эпидемии (как это было в 2013 году из-за XSS-уязвимости) не произошло. По состоянию на 13:45 у искомой записи было всего 11 репостов.
По словам хакера, он обнаружил эту уязвимость ещё в 2014 году, однако не воспринял её серьёзно и не сообщил администрации соцсети. Во-первых, она принадлежала к классу self-XSS, то есть причиной её срабатывания является сам пользователь.
Во-вторых, согласно правилам программы Hacker One «ВКонтакте» не считает социальную инженерию за уязвимость и не выплачивает за такие сообщения об ошибках вознаграждений. Об этом Бумову напомнили 28 октября после того, как он всё-таки решил сообщить «ВКонтакте» о своей находке.
Через некоторое время после того, как TJ обратился во «ВКонтакте» за комментарием, специалисты по безопасности соцсети вновь открыли ветку обсуждения с Бумовым и пообещали ему разобраться в ситуации.
Пресс-секретарь «ВКонтакте» Георгий Лобушкин подтвердил TJ, что уязвимость существовала в действительности. На 14:25 специалисты соцсети уже исправили её, а компания приняла решение выплатить Бумову вознаграждение: сколько именно, Лобушкин не уточнил, но хакер рассказал, что получил перевод в размере 100 долларов.
Несмотря на то, что self-XSS обычно не несёт угрозы для пользователя (без применения социальной инженерии), и мы не принимаем их в качестве уязвимостей по нашей программе bug bounty, в данном случае был продемонстрирован вектор атаки, который пользователи могут воспроизвести, поэтому мы решили выплатить вознаграждение.
Георгий Лобушкин, пресс-секретарь «ВКонтакте»
По словам Бумова, обычно «ВКонтакте» исправно выплачивала вознаграждения за уязвимости. За 2014-2015 годы ему удалось заработать таким образом около 100 тысяч рублей: на часть полученных денег купил себе и жене по моноколёсу. «ВКонтакте» присоединилась к платформе HackerOne в мае 2015 года.