Исследователь компании ONsec Дмитрий Бумов обнаружил достаточно интересную уязвимость в социальной сети “ВКонтакте”, позволяющей осуществить XSS-атаку. Брешь существовала из-за некорретной обработки эмодзи. Эксперт обнаружил, что если в личной переписке добавить в свое сообщение символы Unicode вместе с вредоносным JavaScript-кодом, социальная сеть при конвертации символов в эмодзи обработает вредоносный скрипт. Обычно после фильтрации входных данных “ВКонтакте” не обрабатывает сторонние сценарии, но добавление символов Unicode позволяет обойти защиту.
Для того чтобы проверить свою находку, Бумов опубликовал в одном из сообществ “ВКонтакте” запись о том, что в соцсети появились секретные анимированные эмодзи. Для того чтобы их использовать, пользователям предлагалось скопировать код в форму отправки сообщения. В коде содержался сценарий, выводящий на экран надпись “You hacked” (“Вы взломаны”) и осуществлявший репост записи на страницу жертвы.
В интервью изданию TJournal исследователь сообщил, что о существовании ошибки он знал еще с 2014 г., но у него не хватало времени на ее проверку. После небольшого “полевого тестирования” уязвимость была подтверждена, после чего Бумов сообщил о ней администрации соцсети. Несмотря на то, что ошибки типа self-XSS не принимают участия в программе вознаграждения за обнаружение брешей, разработчики выплатили Бумову $100 за открытый им новый вектор атаки. (ВКонтакте/NovostIT)
