Конференции
Лондон, Великобритания
02-03
Июль
Милан, Италия
03
Июль
Лаго-Маджоре, Италия
04-05
Июль
Нью-Йорк, США
28
Июль
Санкт-Петербург, Россия
29-30
Июль
Нью-Йорк, США
04-05
Август
Денвер, США
26
Август
Ивиса, Испания
31-02
Август -
Сентябрь
Будапешт, Венгрия
01-04
Сентябрь
Будапешт, Венгрия
03
Сентябрь
Будапешт, Венгрия
04-05
Сентябрь
Лимассол, Кипр
11-12
Сентябрь
Прага, Чехия
26
Сентябрь
Марбелья, Испания
06
Октябрь
Лондон, Великобритания
22-23
Октябрь
г.Ташкент, Узбекистан
13-14
Ноябрь
Мехико, Мексика
22
Ноябрь
Италия
23-26
Ноябрь
Коломбо, Шри-Ланка
30-02
Ноябрь -
Декабрь
Бангкок, Таиланд
03
Декабрь
Бангкок, Таиланд
04-05
Декабрь

Все подробности взлома Вконтакте 14.02.2019


Сегодня произошел крупнейший взломал Вконтакте. Одновременно на страницах очень большого количества сообществ появились записи с ссылкой на статью.

Итак, вся история взлома ВК 14.02.2019 от самого автора:


Содержание постов было следующим, примеры на скриншотах.

Ссылка везде была одна и та же, вела на данную статью https://www.liveinternet.ru/users/rzhaka/post449644504/, сейчас она закрыта. Мы нашли скриншоты самой статьи. В конце был пример запуска этого бага. Ребята еще вчера опубликовали пост в паблике «Багосы» о том, что нашли серьезную уязвимость во вконтакте. Они предлагали собрать несколько сот лайков, после чего продемонстрировать результат.

Статья на которую вели ссылки с взломанных постов ВК

Статья на которую вели ссылки с взломанных постов ВК

В любом случае это конкретный фиаско … Прикиньте Титан или гемблу запустить так?

Почему так вышло? 

В вики страницы ВК можно вставлять видосы с ютуба, т.е. они вставляются автоматом с сайтов. Они вставляются как iframe. Понятное дело ВК проверяет ссылку фрейма, но проблема в том, что ВК не чекает параметр srcdoc, по этому туда кое-кто засунул js, который через DOM пихает тег <script> вместе с самой ссылкой на скрипт, расположенный на сайте rzhaka_github_io (убрал точки специально), в тот iframe, который автоматом вызывается и делает автоматические посты, опять же потому, что вк не проверяет, нажал ли на кнопку пользователь, или бот (капчи нет). 
Ещё один прикол в том, что ссылка публикуется не как обычная, а как репост фотки из группы, которая на самом деле та же вики-страница. А текст в вики-страницы как раз из одного из постов на оригинальной ржаке

Скрины ниже:

TL;DR: iframe = плохо

P.P.S. Та херня наверху второго скрипта и есть текст, который пихается в каждый пост, он выбирается рандомом

Сам скрипт бага, но код не весь:

CPARIP


Like it? Share with your friends!
-1
3 Комментария
  1. кто-то круто угарнул))

  2. Ничего удивительного, не первый раз с ВК такое чудо)

  3. спасибо,
    хороший материал!

Партнерка - Наша оценка
Вертикали
Мин. сумма
Сайт
Vavadapart обзор
Партнёрская программа онлайн-казино Vavada. Это прямой рекламодатель. На рынке с 2017 года. Сотрудничают по RevShare (до 50%) и CPA.
1000 рублей/$20/€20 выплата
фото
фото
фото
фото
фото
фото
фото
фото
фото
фото
фото
фото
фото
фото
Наша партнерская программа c офферами по Gambling и Betting вертикалям. Выплаты в день запроса от $20.
$20 выплата
фото
778 шт
Перейти к офферам
V.Partners обзор
Прямой рекламодатель популярных в Европе казино и беттинг брендов: Vulkan Vegas, ICE Casino, VERDE Casino, Vulkan Bet и Hit'N'Spin. Партнерка основана в 2016 году. Работают по СРА, RevShare, Hybrid и принимают трафик с более чем 55 стран.
€100 выплата
фото
фото
фото
фото
фото
фото