• Обратная связь: [email protected]

    Наш канал в telegram: https://t.me/ru_sfera

    Группа VK: https://vk.com/rusfera

    Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации

С помощью уязвимости, опубликованной на Хабре, развлекаются малолетние террористы


Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 653
:Уязвимость в Facebook: посещая случайную ссылку убедитесь, что таб с Facebook не поменял URL .
И что интересно,до сих пор работает.Обычно у меня все редиректы блокирует и спрашивает разрешения дополнение RequestPolicy.Но тут оно промолчало.
P.S.В коммах пишут что этой уязвимости уже десять лет.Цитирую комм:"Поверхностный поиск в bug tracker'е Mozilla что об этом известно уже лет 10 и это поведение считается нормальным. Последний комментарий в этом же баге содержит информацию о том как избавиться от этого поведения в отдельно взятом браузере, уверен что и соответствующие расширения тоже есть."
 

NIN@

Уважаемый пользователь
Форумчанин
Регистрация
26.03.2014
Сообщения
345
Репутация
430
:Уязвимость в Facebook: посещая случайную ссылку убедитесь, что таб с Facebook не поменял URL .

Эээх, надо было скопипастить статью, её уже удалилиsmile126.gif 3333.jpg
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 653
Эээх, надо было скопипастить статью, её уже удалили
Ну ссылка то от эксперимента у меня осталась.Вот:
Вставь её на своей страничке в фейсе,а потом перейди.Так как она тестовая,то всюду автор написал предупреждения.
1.Вставить ссылку на страничке (хотя можешь перейти и отсюда но это будет не по правилам,жертва ведь сидит в фейсбуке)
Снимок.PNG

2.После перехода появится окошко подтверждением (вставка автора),жмёшь окей
Снимок2.PNG

3.Снова появляется объяснения от автора статьи,а в другой вкладке уже фейковая страница
Снимок3.PNG



Снимок4.PNG

Если бы всё было без этих предупреждений,то смотрелось бы неплохо.
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 653
Эээх, надо было скопипастить статью, её уже удалили
Кстати.В сети ничего не исчезает бесследно.Достаточно загуглить по ключевым словам....
 

NIN@

Уважаемый пользователь
Форумчанин
Регистрация
26.03.2014
Сообщения
345
Репутация
430
1.Вставить ссылку на страничке (хотя можешь перейти и отсюда но это будет не по правилам,жертва ведь сидит в фейсбуке)

У меня нет аккаунта в фейсбуке. Когда-то давно был, так пришлось создать левый ящик (тогда еще не знала, что можно в паблике найти кучу мейлов или нарегать с помощью проги), чтоб мой основной, который я по глупости указала при регистрации, нигде не фигурировал и на него не шла рассылка с фейсбука о всяких знакомых и пр. после удаления аккаунта.
3.Снова появляется объяснения от автора статьи,а в другой вкладке уже фейковая страница
Посмотреть вложение 41385
Угу, только это не фейковая страница, а скрин растянутой по горизонтали фейковой страницы, или я чего-то не поняла...smile126.gif
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 653
Угу, только это не фейковая страница, а скрин растянутой по горизонтали фейковой страницы, или я чего-то не поняла...
Это две разные картинки,просто сливаются в одну.При переходе оригинальная страничка Фейсбука подменяется фейком.
Вот в данный момент,если ты перейдёшь по ссыли и нажмёшь окей,то страница форума заменится фейком фейса.Только автор слегка переборщил со своими предупреждениями.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 202
Репутация
8 335
Ну я-бы не сказал что это уязвимость в фейсбук...

То-же самое можно проделать с любым сайтом-же, в частности и здесь на форуме...

Где-то читал про это, что IE только блокирует такие скрипты, или хром точно не помню !Не въехал!!!

Тут дело не в фейсбуке, а в браузерах которые такое позволяют...Отдыхай!!!
 

Nedovirus

Уважаемый пользователь
Форумчанин
Регистрация
14.05.2014
Сообщения
399
Репутация
310
а вот был бы у всех плагин NoScript - история могла бы пойти по-другому))
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 653
а вот был бы у всех плагин NoScript - история могла бы пойти по-другому))
Ну тут тоже как получится.Ведь жертва переходит по ссылке с какой-то целью (что-то увидеть или прочитать) и если это что-то некорректно отображается,то жертва разрешит исполнение скриптов с сайта и в это время...
Если пользоваться менеджерами паролей,типа ЛастПасс,то тоже на эту уловку вряд ли попадёшь,так как менеджер не введёт нужный пароль на другом сайте.
Ну я-бы не сказал что это уязвимость в фейсбук... То-же самое можно проделать с любым сайтом-же, в частности и здесь на форуме...
В ВК не катит.Подмены страницы не происходит.В Одноклассниках спрашивают о переходе по сторонней ссылке и страничка в итоге подменяется.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 202
Репутация
8 335
В Одноклассниках спрашивают о переходе по сторонней ссылке и страничка в итоге подменяется.
Ну во вконтакте все внешние ссылки такого вида:
Код:
http://vk.com/away.php?to=http://Мой_Сайт.ru/
Интересно а почему не катит во вконтакте ?

Они защиту какую сделали в этом away.php или что ?Не въехал!!!
 
Верх Низ