среда, 28 ноября 2012 г.

"Кракозякер" Destanto нашёл XSS-уязвимости на сайте «Вконтакте» -


Хакер Destanto, также известный как Def, прислал в редакцию ][ информацию о двух незакрытых уязвимостях на сайте Vk.com.

   Уязвимости не представляют особой опасности для сайта, так что мы решили опубликовать их в открытом доступе. Destanto пишет, что XSS даёт доступ к нескольким пустым БД и не более.

Суть бага в том, что любой желающий может сгенерировать страницы в разделе «Помощь» на сайте.




    Для этого достаточно всего лишь набрать URL такого вида:

http://vk.com/ads?act=office_help&oid=-19542789&p=Проверка

Вместо слова «Проверка» может быть любое слово. После этого генерируется страница в разделе «Помощь», которую кто угодно может редактировать и добавлять новый контент.


Hacker Destanto also known as Def, has sent in edition] [the information on two open уязвимостях on a site Vk.com. To vulnerability do not represent special danger to a site so we have decided to publish them in open access.


Destanto writes that XSS gives access to several empty DB and no more. Essence of a bug that any interested person can generate pages in section "Help" on a site.



For this purpose it is enough to type only URL such kind:

 http://vk.com/ads?act=office_help&oid=-19542789&p=Проверка

Instead of a word "Check" there can be any word. After that the page in section "Help" which everybody can edit and add a new content is generated.








jetswap




1 комментарий: