Comments 41
за сообщение о такой ошибке MailRu Group выплатили бы щедрое баунти

А сами багоси пишут, что не платили в течение целого года, именно поэтому и запустили сабж

причем за сообщение о такой ошибке MailRu Group выплатили бы щедрое баунти

Как человек, который сообщал в Баг Баунти о возможности доступа к многомиллионному количеству аккаунтов в ВК, а через месяц получивший крайне щедрое «мы знаем об этом из внутренних источников» я больше не хочу сообщать туда что-то серьёзное. Сейчас думаю о том, что делать с другими интересными багами.
Уже изменил последний абзац, но как багхантера понимаю Вас. Не применимо к ББ ВК, а в целом, примеры приводить не буду, по чатикам и так все о них знают.
что делать с другими интересными багами

Примерно то же, что произошло с одним из багов сегодня

UFO landed and left these words here

А, ясно, зря я надеялся на рассмотрение моего medium-репорта за обозримый срок (на данный момент больше месяца уже), раз critical никто не смотрит...

У меня пару вопросов от нуба
1)В вк в сообщениях можно посылать сырые html теги? в данном случае iframe с любыми параметрами
2)Как вк(любой сайт) должен защищаться от такого, когда в его теле загружается iframe с левого домена.

1) Нет, это следствие некорректной обработки ссылки
2) В данной уязвимости не было iframe с левым доменом

А что было то? Есть техническое описание, как это было? А то получается, вы всё знаете, но капитаните и молчите. Добавьте еще:
3) Вам стоит выйти из vk и зайти снова.
)Как вк(любой сайт) должен защищаться от такого, когда в его теле загружается iframe с левого домена.

CSP: frame-src
В ВК подразумевается легитимная возможность отображения роликов с ютуба во фрейме. Но в данном случае загвоздка же не в iframe-src была.
подразумевается, и?)
бтв — это ответ на вопрос про ифреймы, а не конкретно эту ситуацию все же
Вопрос был в том числе про ВК. CSP в данном случае спасло бы, но только script-src.
Он как-то несколько странно всё описал. Во-первых, про Вики-страницы совершенно ничего не понятно — наверное имелось в виду, что править разметку HTML можно только при редактировании вики-страницы, но никак не при отправке обычного сообщения в ЛС — хотя механизм вставки видеоролика и там и там должен быть примерно одинаковым по идее. И дальше про iframe немного намудрил: вк получает результат парсинга страницы с видеозаписью через локальный скрипт-«гейт», расположенный на домене vk.com, и делается это через обычный XHR скорее всего (в ЛС точно именно так всё происходит). Таким образом, вредоносный скрипт подключается прямо в head текущей страницы.

А вот что именно он делает — автор толком не рассказал, а ведь это как раз достаточно интересно.
Я бы не сказал. Слог у автора довольно корявый (я надеюсь, он меня простит, если это читает).
Что делает? Перебирает группы пользователя в цикле и размещает пост там, где это можно. Это же логично. А если нет — можно самому открыть скрипт (там есть скрин, где ссылка на скрипт на гитхабе есть. Достаточно вбить этот url в адресную строку и увидите, как оно работает). Но такой скрипт написать — как раз плюнуть. Гораздо сложнее найти xss-уязвимость и внедрить его. А как это было сделано — об этом как раз автор и рассказывает.
Да я-то знаю, что он делает. Но не все же тут JS кодеры, кто читает эту новость (возможно). На самом деле, тут есть три интересных момента:

1) То, что мы внедрили вредоносный скрипт прямо в документ, дало нам возможность читать через XHR ответы от share.php
2) share.php выдаёт список групп и hash, причём последний — не является одноразовым, поэтому и возможна рассылка в цикле подряд без его обновления
3) Капчи при этом действительно нет

Как всегда беспощаден в своих комментариях:) Впрочем, а чего сюсюкать. Правильный фронтенд как по мне на порядок сложнее бэкенда.

Не в этом суть. Отсутствие санитайзинга пользовательского контента по белому списку — это детский сад. Что понятно любому, кто знаком со всем многообразием тегов, аттрибутов и, внезапно, css-свойств.
А что можно через CSS-свойства сделать плохого? Кроме раздражающей анимации
Вытащить часть пароля/текста, используя шрифты
Круто! А как это пофиксили в итоге?

Самые эпичные — это -moz-binding в мозилле и expression в ишаке. Но эти лавочки уже прикрыли.

Помню такие же развлечения на заре развития, во времена ласипаН -а, когда стена еще была, GET-запросы ты в разных местах создавали записи на стене.
Извечные проблемы России — дураки, дороги, а теперь еще и социальные сети.
Only those users with full accounts are able to leave comments. Log in, please.
Information
Founded

April 21, 2004

Location

Россия

Website

owasp.org

Employees

1001–5000 человек

Registered

26 November 2019