Все подробности взлома Вконтакте 14.02.2019


Сегодня произошел крупнейший взломал Вконтакте. Одновременно на страницах очень большого количества сообществ появились записи с ссылкой на статью.


‼️ Подписка на наш Telegram канал обязательна -> Telegram CPARIP


Итак, вся история взлома ВК 14.02.2019 от самого автора:


Содержание постов было следующим, примеры на скриншотах.

Ссылка везде была одна и та же, вела на данную статью https://www.liveinternet.ru/users/rzhaka/post449644504/, сейчас она закрыта. Мы нашли скриншоты самой статьи. В конце был пример запуска этого бага. Ребята еще вчера опубликовали пост в паблике «Багосы» о том, что нашли серьезную уязвимость во вконтакте. Они предлагали собрать несколько сот лайков, после чего продемонстрировать результат.

Статья на которую вели ссылки с взломанных постов ВК

Статья на которую вели ссылки с взломанных постов ВК

В любом случае это конкретный фиаско … Прикиньте Титан или гемблу запустить так?

Почему так вышло? 

В вики страницы ВК можно вставлять видосы с ютуба, т.е. они вставляются автоматом с сайтов. Они вставляются как iframe. Понятное дело ВК проверяет ссылку фрейма, но проблема в том, что ВК не чекает параметр srcdoc, по этому туда кое-кто засунул js, который через DOM пихает тег <script> вместе с самой ссылкой на скрипт, расположенный на сайте rzhaka_github_io (убрал точки специально), в тот iframe, который автоматом вызывается и делает автоматические посты, опять же потому, что вк не проверяет, нажал ли на кнопку пользователь, или бот (капчи нет). 
Ещё один прикол в том, что ссылка публикуется не как обычная, а как репост фотки из группы, которая на самом деле та же вики-страница. А текст в вики-страницы как раз из одного из постов на оригинальной ржаке

Скрины ниже:

TL;DR: iframe = плохо

P.P.S. Та херня наверху второго скрипта и есть текст, который пихается в каждый пост, он выбирается рандомом

Сам скрипт бага, но код не весь:


Понравилось? Расскажи друзьям!

0

3 Comments

Ваш e-mail не будет опубликован. Обязательные поля помечены *

X