Символы для бага вк

Раздражающие полоски будут по всему экрану с диалогом вконтакте, если скопировать код ниже и отправить кому то в сообщении

Так же это сработает в комментариях к альбомам, фотографиям, сообщениям, вобщем, везде, но в диалогах лучше всего

Они очень мешают и раздражают, попробуйте кому то отослать их 😉

Вот. побродил по вашему сайту, нашел кое-что интересное для себя, и хочу
поделиться с вами кое-какой информацией. Может будет интересно. Навеяно
статьей про то, как чаты поломали. Хотя действительно чат ломать – пара
пустяков, но смотря какой чат еще. :-)))

1. Дырка в чате http://chat.chuvashia.com

В общем бываю я иногда (редко очень :-((, но все ж заглядываю) на чате
"Город над Волгой" (http://chat.chuvashia.com). Физически находится в
Чебоксарах – мой родной город, так что сами понимаете, иногда ностальгия
начинает мучить, так что сил нет терпеть, просто приходишь туда и с
земляками (больше с землячками конечно :-)), а их там много) душу просто
отводишь.
Ну вот значит. Залазим на чат под ником nick. Ага. залезли. Смотрим
на нижний фреймик. Сохраняем его у себя и внимательно наблюдаем.

Первый прикол.
Смотрим на вторую форму. Дальше будут сокращенные цитаты:

ага. все ясно. Так, заменяем на следующую конструкцию

Заметили 10 отличий? :-))). Ну что. Пробуем ввести имя того, кто в
чате сидит, например, "ibz". Жмем кнопку. Ой. ibz ушел.
Странно. опять зашел, еще раз повторили операцию. Ой. Опять
ушел. Все. работает значит :-))))
Сам в это время в чате болтаю, с девчонкой одной. Назовем ее Земфира.
nick: Земфира ты фокусы любишь?
Земфира: люблю :-)))
nick: А есть щас в чате, кто тебя чем-нибудь обидел?
Земфира: Зидан
nick: зидан, говоришь?

А сам в это время его убиваю :-)))
nick: ой, смотри, чо-то он вылетел :-)))?
Земфира: :-)), я уж подумала что это ты :-))))

Зидан в это время еще раз заходит, и я его еще раз выкидываю.
nick: да нет, что ты, как я могу это сделать, это ж только админы
могут, да и то, зидан же админ, его выкинуть нельзя :-)))?

Зидан заходит еще раз и еще раз, и все так же вылетает
Земфира: Да нет! это ты! Классно, я тоже так хочу! :-))))

Пока я ей обьяснял, что да как, зидан так и не появился. Видать комп
перегружал бедолага :-)))). Ага вот он снова появился. Тут мне
конечно нужно было остановится, но раз уж взял заказ, то выполняй
его до конца. В общем бедный зидан пробовал влезать в чат, успевал
бросить одну фразу (или не успевал, зависело от моей реакции :-))) и
сразу же вылетал еще раз 15 наверно. Ну потом они конечно
догадались, выкинули ту девчонку, я выкинул того, кто ее выкинул,
меня тоже выкинули. В общем было весело. Мне прикрыли ип – я залез
через проксю – посмотрел, что там творится – а там трупы, трупы.
зидан озверел, понял наконец, что произошло и просто всех подряд
убивал :-))) Вечеринка удалась :-)))))

Читайте также:  Программа для установки usb устройств

Мораль.
Ошибка у них (создателей чата) была в том, что они при action=logof
не проверяли userid (а это уникальный параметр, присваивается
каждому входящему свой, случайным образом), и выкидывали сразу по
одному только username.
Эта ошибка сразу же была пофиксена, поэтому на этом чате ее не
ищите, ищите на других – наверняка она у многих встречается, не на
всех чатах, например, уникальными userid пользуются. У многих все
гораздо проще :-))))

Второй прикол.
Смотрим теперь на первую форму :-)))) Надо сказать, что тэги в этом чате
запрещены, и поэтому особо не побалуешься. Шрифт не поменяешь,
размер не увеличишь. Обидно. Но не страшно. иба как говорится на
каждую отвертку есть труба с лабиринтом (звучит не так конечно, но матом
мы ругаться не будем :-))))
Смотрим на первую форму. оля-ля-ля. сколько параметров, некоторые и
не используются. О. кажется нашли что надо. среди прочих там есть
и такой:



Быстренько меняем эту конструкцию на свою:

Так. сделали то что нужно. открываем то что получилось. и в нашем
поле вводим следующее:

red Face=Arial Size=6

кто догадался – это мы тэг просто своими параметрами дополнили
:-)))) Набиваем и отправляем свой текст – оп-па. Большая жирная
красная надпись :-))) (И смачный шлепок от админов за ваши баловства
:-)))))

Ну вот, теперь мы крутые, как админы можем красиво писать :-)). Теперь
другая фишечка. а не попробовать ли нам поставить вот так вот

Правильно, правильно догадались. Ставим и что получаем в итоге?
Страничка с сообщениями "повисает", и не думай что это у тебя одного
так :-)))) У всех виснет. Дело в том, что там яваскриптик стоит, а
он как раз на этой " спотыкается, возникает ошибка, и страничка дальше
не грузится. по крайней мере у многих. :-))) НУ что. гадость это
конечно порядочная, но что поделать – аляфер ком аляфер как говорится
:-))) Можно конечно утонченней сделать – послать такое сообщение в
приват врагу и он лишается привата на некоторое (иногда даже очень
длительное :-)))) время.
Ну что значит, рассказал я одному знакомому значит, он и побаловался
немножко :-)))). В общем чат на ремонте у них сейчас :-))))

Читайте также:  Решетка для мультиварки редмонд

Мораль.
Ошибка у них в том что:
первое – они не проверяли то, что именно приходит по параметру colname
второе – они не конвертили " в " (хотя даже если б и конвертили –
все равно неправильно было бы :-)))). Ладно хоть догадались > и
&rt убирать. а то сами понимаете:
&rt&lt дальше любой тэг, и пиши пропало. :-))))

Еще раз повторюсь, эти ошибки убрали уже (они старую версию чата вроде
загрузили – может и ее заодно проверить думаю?)

Специалист по безопасности ONsec Дмитрий Бумов обнаружил уязвимость во «ВКонтакте»: при отправке смайликов через символы Unicode окно для написания сообщений позволяло выполняться скриптам JavaScript, из-за чего злоумышленники могли производить действия с аккаунтом пользователя: например, от его имени репостить чужие записи. «ВКонтакте» закрыла уязвимость и выплатила хакеру вознаграждение.

Для тестирования обнаруженной уязвимости Бумов рассказал в своём блоге Bo0om.ru о якобы недавно появившихся во «ВКонтакте» анимированных смайликах. На сайте утверждалось, что смайлики пока секретные, поэтому для их отправки нужно скопировать код и вставить в окно набора сообщения.

Хотя сайт и выглядит подозрительно, пользователи могли поверить ему хотя бы из-за существования «секретных» смайликов в Skype. Кроме того, в октябре Apple выпустила iOS 9.1 с поддержкой новых эмодзи: это могло дополнительно сбить людей с толку.

Однако при копировании смайликов (их самих или соответствующей им в стандарте Unicode последовательности символов) в содержимое буфера обмена помещалось не анимированное изображение, а существующий эмодзи-смайлик вместе со строкой кода на JavaScript.

Бумов поместил в код предупреждение «You hacked» и действие репоста. Когда ничего не подозревающий пользователь пытался послать кому-либо анимацию, на его странице незаметно появлялась запись из сообщества Bo0om во «ВКонтакте», причём для этого даже не требовалось нажимать кнопку отправки сообщения.

Читайте также:  Серийный номер что это такое

Как рассказал TJ сам Бумов, во «ВКонтакте» нельзя просто так исполнить JavaScript-код в окне набора сообщения: если скопировать туда инструкцию формата , то ничего не произойдёт. Однако если слева от сообщения будет стоять смайлик эмодзи, «ВКонтакте» преобразует символ в изображение и одновременно выполнит сопровождающий его код, так как система не подозревает, что он может быть написан злоумышленником.

Бумов опробовал работу уязвимости 28 октября после того, как ему вновь о ней напомнили, но за сутки эпидемии (как это было в 2013 году из-за XSS-уязвимости) не произошло. По состоянию на 13:45 у искомой записи было всего 11 репостов.

По словам хакера, он обнаружил эту уязвимость ещё в 2014 году, однако не воспринял её серьёзно и не сообщил администрации соцсети. Во-первых, она принадлежала к классу self-XSS, то есть причиной её срабатывания является сам пользователь.

Во-вторых, согласно правилам программы Hacker One «ВКонтакте» не считает социальную инженерию за уязвимость и не выплачивает за такие сообщения об ошибках вознаграждений. Об этом Бумову напомнили 28 октября после того, как он всё-таки решил сообщить «ВКонтакте» о своей находке.

Через некоторое время после того, как TJ обратился во «ВКонтакте» за комментарием, специалисты по безопасности соцсети вновь открыли ветку обсуждения с Бумовым и пообещали ему разобраться в ситуации.

Пресс-секретарь «ВКонтакте» Георгий Лобушкин подтвердил TJ, что уязвимость существовала в действительности. На 14:25 специалисты соцсети уже исправили её, а компания приняла решение выплатить Бумову вознаграждение: сколько именно, Лобушкин не уточнил, но хакер рассказал, что получил перевод в размере 100 долларов.

Несмотря на то, что self-XSS обычно не несёт угрозы для пользователя (без применения социальной инженерии), и мы не принимаем их в качестве уязвимостей по нашей программе bug bounty, в данном случае был продемонстрирован вектор атаки, который пользователи могут воспроизвести, поэтому мы решили выплатить вознаграждение.

Георгий Лобушкин, пресс-секретарь «ВКонтакте»

По словам Бумова, обычно «ВКонтакте» исправно выплачивала вознаграждения за уязвимости. За 2014-2015 годы ему удалось заработать таким образом около 100 тысяч рублей: на часть полученных денег купил себе и жене по моноколёсу. «ВКонтакте» присоединилась к платформе HackerOne в мае 2015 года.

Leave a Reply

Ваш адрес email не будет опубликован. Обязательные поля помечены *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>