Agentprovocateur
Местный
Agentprovocateur
Местный
- Статус
- Offline
- Регистрация
- 19 Апр 2016
- Сообщения
- 204
- Реакции
- 7
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
Обнаруженная XSS уязвимость позволяла выполнить произвольный js код на страницах социальной сети.
Сегодня на тысячах страниц вконтакте появились странные посты. Вредоносный скрипт, эксплуатирующий XSS уязвимость ( https://github.com/rzhaka/prikol/blob/master/yrap.js), автоматически размещал следующую публикацию на страницах, администрируемых жертвой:
Ссылка в новости ведет на пост в группе «Команды ВКонтакте».
Скорее всего обнаруженная уязвимость могла привести к более серьезным последствиям, в том числе и кражам учетных записей, учитывая факт того, что в соцсети не настроена базовая политика Content Security Policy.
Представители «ВКонтакте» рассказали, что держат ситуацию под контролем, а нежелательные публикации начали удалять в течение первой минуты после обнаружения уязвимости.
Сегодня на тысячах страниц вконтакте появились странные посты. Вредоносный скрипт, эксплуатирующий XSS уязвимость ( https://github.com/rzhaka/prikol/blob/master/yrap.js), автоматически размещал следующую публикацию на страницах, администрируемых жертвой:
Ссылка в новости ведет на пост в группе «Команды ВКонтакте».
Скорее всего обнаруженная уязвимость могла привести к более серьезным последствиям, в том числе и кражам учетных записей, учитывая факт того, что в соцсети не настроена базовая политика Content Security Policy.
Представители «ВКонтакте» рассказали, что держат ситуацию под контролем, а нежелательные публикации начали удалять в течение первой минуты после обнаружения уязвимости.
