Чи XSS уразливості в Контакте





Сьогодні Ви дізнаєтеся, як можна розшифрувати абревіатуру XSS і для яких цілей ця вразливість застосовується хакерами на сайтах, зокрема ВКонтакте. Поєднання букв XSS означає «Cross Site Scripting», що перекладається як міжсайтовий скриптинг. Але тоді логічно буде поставити запитання: «Чому дана абревіатура починається з букви X?». На це питання Ви теж сьогодні отримаєте відповідь. А ще Ви дізнаєтесь, які є уразливості ВКонтакте.

XSS уразливість ВКонтакте: міф чи реальність?

Ця вразливість з’явилася не так давно. А перед цим розробили табличку стилів CSS, що розшифровується як каскадні таблиці стилів. CSS — це якась технологія, яка описує зовнішній вигляд документа HTML. Тому в абревіатурі XSS замінили першу букву, так як вона означає вразливість, яка перетинає різні сайти.

Чи XSS уразливості в Контакте

В яких випадках використовується уразливість XSS

XSS можна знайти в скриптах, де немає фільтра на змінну, щоб отримати запит. Уразливість XSS краде COOKIES, що дослівно перекладається на російську мову як «печиво». Цей напис Ви, напевно, не раз бачили на упаковках з печивом. У нашому випадку вона означає міні-базу даних браузера. Вона може містити в собі дані облікових записів сайтів, користувачами яких Ви є.

Сьогодні Ви отримаєте відповідь на питання, чи є вразливість XSS в Контакте, але трохи пізніше. А зараз давайте розберемося, як її можуть використати хакери. Якщо така вразливість є на якомусь з сайтів, то вона може бути використана для того, щоб поцупити сесію користувача і відвідати сайт (той же ВКонтакте) під його ім’ям. Для цього навіть не знадобиться Ваш логін і пароль, які Ви вводили під час реєстрації на сайті ВКонтакте або в інший соцмережі.

Ще вразливість XSS дає можливість вносити незначні зміни в сайт. Наприклад, якщо адміністрація форуму дозволяє обмінюватися тільки текстовою інформацією, то за допомогою цієї уразливості Ви зможете прикріпити до Вашого тексту або фотографію, або документи з іншими розширеннями.

Після того як ми розібралися, які є можливості, якщо використовувати уразливість XSS, з’являється питання, як її можна знайти і яким чином вона з’являється на сайтах. Але для початку давайте поговоримо про те, чи є XSS ВКонтакте, як і обіцяли.

Ми хочемо Вам повідомити, що XSS недавно була виявлена ​​в соціальній мережі, а саме в розділі додатків. В вихідний код флешки є можливість впровадити javascript, що може бути виконаний в браузері Mozilla Firefox. Розробники соціальної мережі ВКонтакте це врахували: вони заборонили доступ. Але браузер зберігає флеш в своєму проміжному буфері з швидким доступом.

Отже, ми вже з’ясували, що уразливість XSS ВКонтакте існує. Тепер давайте розберемося, яким чином вона використовується на сайті. З буфера з швидким доступом, флешка може бути дуже легко завантажена. Коли вона збереглася в буфері, то з її допомогою будь-хто може відкрити нове вікно, в якому міститиметься посилання. Mozilla Firefox завантажить її з буфера з швидким доступом, і javascript буде виконаний.

Що може захистити від уразливості XSS в Контакте

Врятувати від цієї уразливості ВКонтакте може тільки програма, яка блокує спливаючі вікна. Але звичайний користувач може зняти цю блокування, якщо побачить, що його відкриває сайт ВКонтакте. Розробники блокувальника стверджують, що він дієвий не у всіх браузерах. Отже, тепер Ви знаєте про даної уразливості ВКонтакте і як від неї можна врятуватися. Бажаємо Вам не попадатися в пастки, розставлені хакерами.