Rechtliche Clickjacking VKontakte

    Lassen Sie uns über das Widget für die Autorisierung sprechen.

    Uns wird gesagt, dass:
    Mit dem Autorisierungs-Widget können Sie Benutzern einfach die Möglichkeit geben, sich bei Ihrer Site anzumelden.

    Außerdem wird uns gesagt, dass:
    Als Ergebnis der Autorisierung gibt das Widget die folgenden Felder zurück: UID, Vorname, Nachname, Foto, Foto_Rez, Hash .


    Rezept:

    1. Erstellen Sie eine Anwendung.
    2. Fügen Sie unserer Website ein Widget hinzu.
    3. Mit js zwingen wir es, dem Cursor zu folgen.
    4. Machen Sie es mit css transparent.
    5. Der Benutzer klickt auf die Seite.
    6. ?????????
    7. GEWINN!

    Damit die Demo funktioniert, müssen Sie bei Vkontakte angemeldet sein.

    Demo

    Ich habe Transluzenz verlassen, um die Mechanik des Prozesses besser zu verstehen. Im wirklichen Leben wird der Wert opacityNull sein.

    Ich dachte, dass es nicht gut ist, Benutzerdaten preiszugeben, und schrieb an den Support. Ein Support Agent # 920 hat
    mir geantwortet :

    Dies ist keine Sicherheitslücke. Und was ist die große Sache?

    Eine solche undokumentierte Gelegenheit ...

    Nur registrierte Benutzer können an der Umfrage teilnehmen. Bitte komm rein .

    Du denkst das

    • 10,3% Fehler 337
    • 26,3% Feature 856
    • 63,3% Schwachstelle 2061

    Jetzt auch beliebt: