[ВКонтакте] Исходный код страницы ВКонтакте и XSS в приложении
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
[ВКонтакте] Исходный код страницы ВКонтакте и XSS в приложении - 2011-06-05 19:32:50.290000
|
|
|
Vasek69
Сообщений: 154
Оценки: 0
Присоединился: 2011-02-12 05:33:39.426666
|
Всем привет!
Вот допустим сидит жертва авторизованная ВКонтакте. Есть ли у неё в исходном коде страницы какая-нибудь уязвимость, id сессии или что-нибудь ещё, что можно было бы украсть для получения логина и пароля?
Я знаю, что есть такая фича: javascript:document.write(document.cookie) - и это надо вводить в браузере, чтобы узнать id сессии. И украв эту id сессии можно легко заменить их на свои. Но теперь это прикреплено к железу. Возможно ли это избежать?
И ещё один вопрос у меня есть насчёт XSS. Я знаю, что почти все XSS ВКонтакте закрыты, но есть такая штука: Можно XSS код разместить в приложении .sfw и загрузить ВКонтакт. Но я не уверен, работает этот или нет? Подскажите плиз
|
|
|
|
|
RE: [ВКонтакте] Исходный код страницы ВКонтакте и XSS в приложении - 2011-06-05 19:50:48.690000
|
|
|
Barkass$
Сообщений: 1854
Оценки: 40
Присоединился: 2008-11-11 12:19:45.216666
|
Нет, не будет работать. Раньше скрипт засовывали в блокнот, сохраняли в формате img, почему? Потому что браузер сможет открыть этот формат, в своем окне, и покажет нам картинку.
|
|
|
|
|
RE: [ВКонтакте] Исходный код страницы ВКонтакте и XSS в приложении - 2011-06-05 20:13:59.740000
|
|
|
Vasek69
Сообщений: 154
Оценки: 0
Присоединился: 2011-02-12 05:33:39.426666
|
чё-то я не понял. ты про приложение? если да, то по подробней плиз
|
|
|
|
|
|
