Репост из: Cybersecurity & Co. 🇺🇦
⚡️Уязвимость ВКонтакте
Сегодняшняя новость номер один посвящена социальной сети номер два — во ВКонтакте во всю эксплуатируется серьезная уязвимость. На сотнях страниц различных организаций появились странные посты. Как выяснилось позднее, социальная сеть оказалась подвергнута XSS-уязвимости. Вредоносный скрипт разместили на одной из страниц сети, при посещении которой на страницах, администрируемых жертвой, автоматически размещалась публикация как на картинке выше. Уязвимость до сих пор не исправлена.
Что тут можно сказать — соц. сеть без адекватной bug bounty политики получила то, что заслужила.
Сам скрипт:
https://github.com/rzhaka/prikol/blob/master/yrap.js
Сегодняшняя новость номер один посвящена социальной сети номер два — во ВКонтакте во всю эксплуатируется серьезная уязвимость. На сотнях страниц различных организаций появились странные посты. Как выяснилось позднее, социальная сеть оказалась подвергнута XSS-уязвимости. Вредоносный скрипт разместили на одной из страниц сети, при посещении которой на страницах, администрируемых жертвой, автоматически размещалась публикация как на картинке выше. Уязвимость до сих пор не исправлена.
Что тут можно сказать — соц. сеть без адекватной bug bounty политики получила то, что заслужила.
Сам скрипт:
https://github.com/rzhaka/prikol/blob/master/yrap.js