Information Security
11 February 2009

Развали свою страничку в контакте
(И не только в нем)

Как оказалось, проверка на входные данные, так активно вдалбливаемая новичкам веб-программирования, разработчикам всеми любимого сайта vkontakte.ru не ведома. Вооружившись файрфоксом и файрбагом, понимающий что он делает человек может несколько разнообразить свою страничку разными недоступными обычному пользователю вкусностями — такими как дата рождения 99 января 9999 года или многострочные статусы.



Для примера изменим дату. Все что надо сделать — это с помощью режима Inspect на странице редактирования данных профиля найти SELECT дня и года рождения, и в атрибуте value изменить число на любое нами выбранное. После сохнанения данные безболезненно перенесутся на вашу страничку. Аналогично со статусом и любыми другими элементами типа <input type=«text»>. Выделяя их и переходя в режим редактирования HTML мы акуранто изменяем INPUT на TEXTAREA, после чего можно спокойно писать многострочный статус. Подобные вещи прокатывают и с родным городом, и многими другими елементами.

Весело? :) Разработчики… А-А-У-У-У

кстати на хабре в профиле такая же лажа. загляните ко мне — посмотрите :)

+99
2.9k 33
Comments 151