[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "disable": true, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "create", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-101273134", "adfox_url": "//ads.adfox.ru/228129/getCode?p1=byaeu&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid11=&puid12=&puid13=&puid14=&puid21=&puid22=&puid31=&fmt=1&pr=" } } ]
{ "author_name": "Никита Лихачёв", "author_type": "self", "tags": ["\u043a\u0430\u0442\u0435\u0433\u043e\u0440\u0438\u044f_\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u0432\u043a\u043e\u043d\u0442\u0430\u043a\u0442\u0435","\u0445\u0430\u043a\u0435\u0440\u044b","\u0433\u0435\u043e\u0440\u0433\u0438\u0439_\u043b\u043e\u0431\u0443\u0448\u043a\u0438\u043d","\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438","\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438_\u0432\u043a\u043e\u043d\u0442\u0430\u043a\u0442\u0435","\u0441\u043e\u0446\u0438\u0430\u043b\u044c\u043d\u0430\u044f_\u0438\u043d\u0436\u0435\u043d\u0435\u0440\u0438\u044f","\u0441\u0435\u043a\u0440\u0435\u0442\u043d\u044b\u0435_\u0441\u043c\u0430\u0439\u043b\u0438\u043a\u0438_\u0432\u043a\u043e\u043d\u0442\u0430\u043a\u0442\u0435","\u0434\u043c\u0438\u0442\u0440\u0438\u0439_\u0431\u0443\u043c\u043e\u0432","hackerone","self_xss"], "comments": 5, "likes": 0, "favorites": 9, "is_advertisement": false, "section_name": "default", "id": "56556" }
Никита Лихачёв
16 973

«Белый хакер» заставил пользователей «ВКонтакте» распространять его записи через уязвимость в обработке смайликов

Специалист по безопасности ONsec Дмитрий Бумов обнаружил уязвимость во «ВКонтакте»: при отправке смайликов через символы Unicode окно для написания сообщений позволяло выполняться скриптам JavaScript, из-за чего злоумышленники могли производить действия с аккаунтом пользователя: например, от его имени репостить чужие записи. «ВКонтакте» закрыла уязвимость и выплатила хакеру вознаграждение.

Для тестирования обнаруженной уязвимости Бумов рассказал в своём блоге Bo0om.ru о якобы недавно появившихся во «ВКонтакте» анимированных смайликах. На сайте утверждалось, что смайлики пока секретные, поэтому для их отправки нужно скопировать код и вставить в окно набора сообщения.

Хотя сайт и выглядит подозрительно, пользователи могли поверить ему хотя бы из-за существования «секретных» смайликов в Skype. Кроме того, в октябре Apple выпустила iOS 9.1 с поддержкой новых эмодзи: это могло дополнительно сбить людей с толку.

Однако при копировании смайликов (их самих или соответствующей им в стандарте Unicode последовательности символов) в содержимое буфера обмена помещалось не анимированное изображение, а существующий эмодзи-смайлик вместе со строкой кода на JavaScript.

Бумов поместил в код предупреждение «You hacked» и действие репоста. Когда ничего не подозревающий пользователь пытался послать кому-либо анимацию, на его странице незаметно появлялась запись из сообщества Bo0om во «ВКонтакте», причём для этого даже не требовалось нажимать кнопку отправки сообщения.

Как рассказал TJ сам Бумов, во «ВКонтакте» нельзя просто так исполнить JavaScript-код в окне набора сообщения: если скопировать туда инструкцию формата <script>alert(1)</script>, то ничего не произойдёт. Однако если слева от сообщения будет стоять смайлик эмодзи, «ВКонтакте» преобразует символ в изображение и одновременно выполнит сопровождающий его код, так как система не подозревает, что он может быть написан злоумышленником.

Бумов опробовал работу уязвимости 28 октября после того, как ему вновь о ней напомнили, но за сутки эпидемии (как это было в 2013 году из-за XSS-уязвимости) не произошло. По состоянию на 13:45 у искомой записи было всего 11 репостов.

По словам хакера, он обнаружил эту уязвимость ещё в 2014 году, однако не воспринял её серьёзно и не сообщил администрации соцсети. Во-первых, она принадлежала к классу self-XSS, то есть причиной её срабатывания является сам пользователь.

Во-вторых, согласно правилам программы Hacker One «ВКонтакте» не считает социальную инженерию за уязвимость и не выплачивает за такие сообщения об ошибках вознаграждений. Об этом Бумову напомнили 28 октября после того, как он всё-таки решил сообщить «ВКонтакте» о своей находке.

Через некоторое время после того, как TJ обратился во «ВКонтакте» за комментарием, специалисты по безопасности соцсети вновь открыли ветку обсуждения с Бумовым и пообещали ему разобраться в ситуации.

Пресс-секретарь «ВКонтакте» Георгий Лобушкин подтвердил TJ, что уязвимость существовала в действительности. На 14:25 специалисты соцсети уже исправили её, а компания приняла решение выплатить Бумову вознаграждение: сколько именно, Лобушкин не уточнил, но хакер рассказал, что получил перевод в размере 100 долларов.

Несмотря на то, что self-XSS обычно не несёт угрозы для пользователя (без применения социальной инженерии), и мы не принимаем их в качестве уязвимостей по нашей программе bug bounty, в данном случае был продемонстрирован вектор атаки, который пользователи могут воспроизвести, поэтому мы решили выплатить вознаграждение.

Георгий Лобушкин, пресс-секретарь «ВКонтакте»

По словам Бумова, обычно «ВКонтакте» исправно выплачивала вознаграждения за уязвимости. За 2014-2015 годы ему удалось заработать таким образом около 100 тысяч рублей: на часть полученных денег купил себе и жене по моноколёсу. «ВКонтакте» присоединилась к платформе HackerOne в мае 2015 года.

#Категория_Новость #ВКонтакте #хакеры #Георгий_Лобушкин #уязвимости #уязвимости_ВКонтакте #социальная_инженерия #секретные_смайлики_ВКонтакте #Дмитрий_Бумов #HackerOne #self_XSS

Статьи по теме
«Лаборатория Касперского» сообщила о возможной краже сотен тысяч аккаунтов «ВКонтакте» через музыкальное приложение для Android
Хакер устроил эпидемию репостов во «ВКонтакте»
Популярные материалы
Показать еще
{ "is_needs_advanced_access": true }

Лучшие комментарии

Дискуссии по теме
доступны только владельцам клубного аккаунта

Купить за 75₽
Авторизоваться

Преимущества
клубного аккаунта

  • отсутствие рекламы
  • возможность писать комментарии и статьи
  • общение с членами клуба
Подробнее

Преимущества
клубного аккаунта

  • отсутствие рекламы
  • возможность читать и писать комментарии
  • общение с членами клуба
  • возможность создавать записи

Сколько это стоит?

Членство в клубе стоит всего 75₽ в месяц. Или даже дешевле при оплате за год.

Что такое клуб?

Клуб ТЖ это сообщество единомышленников. Мы любим читать новости, любим писать статьи, любим общаться друг с другом.

Вступить в клуб

Комментарии Комм.

Популярные

По порядку

0

Прямой эфир

Вы не против подписаться на важные новости от TJ?

Нет, не против