Показать сообщение отдельно

Re: IT-безопасность-свежие новости.
Старый 04.11.2015, 17:53   #960
☭☭☭☭☭
 
Аватар для kroxus

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 10 220

kroxus вне форума

IT-безопасность-свежие новости.


Смайлики позволяют исполнять вредоносный код

Дмитрий Бумов, эксперт компании ONsec, регулярно обнаруживает баги в самой популярной российской соцсети «ВКонтакте» и уже не раз был вознагражден за свои усилия. В этот раз исследователь выявил XSS-уязвимость, которая содержится в методе обработки эмодзи.

Как рассказал Бумов, при копировании в окно сообщения Unicode-символов, используемых для обозначения эмодзи, можно внедрить вредоносный JavaScript. После этого жертва будет репостить чужие записи, даже не ведая об этом, — для отправки сообщения не нужно даже нажимать на Enter.

Используя простейшие техники социнженерии, исследователь опубликовал запись о том, что «ВКонтакте» тестирует некие «секретные анимированные смайлики» — для этого якобы нужно всего лишь скопировать символы в окно сообщения. В ходе копирования в буфере кроме символов Unicode также появлялся текст «You hacked», но его, естественно, никто не заметил. При этом если вставить в окно сообщения сам вредоносный скрипт, то сработают механизмы безопасности и исполнить код не получится. Но если добавить к вредоносному скрипту Unicode-символы, формирующие эмодзи, «ВКонтакте» без проблем обработает все разом.

Как признался сам исследователь, баг он обнаружил еще в прошлом году, но провести практические испытания времени не хватало. Его трюк с социнженерией в итоге сработал, и с этим нехитрым PoC Бумов обратился в администрацию соцсети. Надо признать, последняя отреагировала оперативно и запатчила баг, наградив Бумова символическими $100, хотя предпочитает не выплачивать премии за применение соц. инженерии. В этот раз вектор атаки оказался весьма нетривиальным, а сам баг — легко эксплуатируемым.

Источник
__________________
пусть всегда будет солнце
  Ответить с цитированием
 
Яндекс.Метрика