Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Сервисы
AI
Личный опыт
Деньги
Инвестиции
Образование
Приёмная
Телеграм
Право
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Иван Петров
Сломалось

Your tokens are my tokens, или история одной [радио]активной XSS на всех сервисах «Комитета»

Your tokens are my tokens, или история одной [радио]активной XSS на всех сервисах «Комитета»

Как-то в мае 2019-го решил я поискать чего интересного на vc.ru. Сервис крупный, информативный и, как показала практика, весьма надёжный и защищённый.

Тем не менее людям свойственно делать ошибки и недочёты. Ну а мне свойственно эти недочеты находить и помогать этим людям их поправить. Таким образом я помогаю хорошим ресурсам и people-сам становиться ещё лучше, и это, как мне кажется, самое главное в любом виде деятельности.

Собственно, мною была найдена возможность вставить произвольный JS-код в тело любой публикуемой новости. Такая брешь в безопасности в случае vc.ru, DTF и TJournal даёт злоумышленнику (но я не такой, честно) следующие возможности:

  1. Писать комментарии от чужого имени.
  2. Накручивать лайки, гайки и вот это всё.
  3. Получить доступ к API Token пользователя, а это уже прямое владение аккаунтом пользователя.

Вот что я отправил администрации ресурса (там же детали самой атаки) и что получил в ответ. Очень порадовала пунктуальность собеседника и скорость реагирования. Всё поправили буквально на следующий день.

Your tokens are my tokens, или история одной [радио]активной XSS на всех сервисах «Комитета»

Ну и выше — видео P0C. Вроде не сложно, но эффективно ж.
На этом всё, а тебе, читатель, — хорошего всего!

26
3 комментария