Новость номер один посвящена социальной сети номер два — ВКонтакте во всю эксплуатируется серьезная уязвимость.
На сотнях страниц различных организаций появились странные посты.
Ссылка в новости ведет на пост в группе «Команды ВКонтакте» которую быстро прикрыли
Скорее всего обнаруженная уязвимость могла привести к более серьезным последствиям, в том числе и кражам учетных записей, учитывая факт того, что в соцсети не настроена базовая политика Content Security Policy.
Представители «ВКонтакте» рассказали, что держат ситуацию под контролем, а нежелательные публикации начали удалять в течение первой минуты после обнаружения уязвимости.
Как выяснилось позднее, социальная сеть оказалась подвергнута XSS-уязвимости.
Вредоносный скрипт разместили на одной из страниц сети, при посещении которой на страницах, администрируемых жертвой, автоматически размещалась публикация как на картинке выше.
Что тут можно сказать — соц. сеть без адекватной bug bounty политики получила то, что заслужила.
О какой безопасности вообще можно говорить, если у ВКонтакте элементарно не настроена самая базовая политика безопасности CSP (Content Security Policy).
Content Security Policy устанавливает перечень доверенных ресурсов, откуда могут подгружаться различные скрипты и прочие материалы. У Facebook, например, такая политика настроена. ВКонтакте же весьма халатно отнеслась к вопросу безопасности пользователей и уже далеко не первый раз.
Сам скрипт: https://github.com/rzhaka/prikol/blob/master/yrap.js