ВКонтакте – XSS уязвимость

Новость номер один посвящена социальной сети номер два — ВКонтакте во всю эксплуатируется серьезная уязвимость.

На сотнях страниц различных организаций появились странные посты.ВКонтакте - XSS уязвимость
Ссылка в новости ведет на пост в группе «Команды ВКонтакте» которую быстро прикрыли

ВКонтакте - XSS уязвимость
Скорее всего обнаруженная уязвимость могла привести к более серьезным последствиям, в том числе и кражам учетных записей, учитывая факт того, что в соцсети не настроена базовая политика Content Security Policy.
Представители «ВКонтакте» рассказали, что держат ситуацию под контролем, а нежелательные публикации начали удалять в течение первой минуты после обнаружения уязвимости.

Как выяснилось позднее, социальная сеть оказалась подвергнута XSS-уязвимости.

ВКонтакте - XSS уязвимость

Вредоносный скрипт разместили на одной из страниц сети, при посещении которой на страницах, администрируемых жертвой, автоматически размещалась публикация как на картинке выше.

Что тут можно сказать — соц. сеть без адекватной bug bounty политики получила то, что заслужила.

О какой безопасности вообще можно говорить, если у ВКонтакте элементарно не настроена самая базовая политика безопасности CSP (Content Security Policy).
Content Security Policy устанавливает перечень доверенных ресурсов, откуда могут подгружаться различные скрипты и прочие материалы. У Facebook, например, такая политика настроена. ВКонтакте же весьма халатно отнеслась к вопросу безопасности пользователей и уже далеко не первый раз.

ВКонтакте - XSS уязвимость

Сам скрипт: https://github.com/rzhaka/prikol/blob/master/yrap.js