Да я и сам с таким сталкивался (чуть позже добавлю скрин).
Собственно первое, что я подумал, неужели API VK просто дописывает через JS свои блоки? Из этого блока вытаскиваются нужные данные и подставляются в форму фишинга? Значит… мы можем логировать всех пользователей, которые посетят наш сайт и которые есть в ВК?.. Бред (хотя, первое, что я подумал, неужели мой аккаунт увели?).
Сразу же проинспектировал подобные элементы, посмотрел, там кроссдоменный iframe. Через JS мы не можем получить данные фрейма, так как столкнемся с Same Origin Policy.
Пока размышлял, решил загрузить фишинговую страничку через ctrl + shift + N и в итоге получил не свою страничку, а кривую-косую форму авторизации в ВК. Значит, фишинг-страничка при помощи CSS просто рисует поверх свои блоки, которые частично перекрывают виджеты/формы авторизации ВКонтакте.
За несколько минут криво-косо накидал подобные PoC фишинга:
- sergeybelove.ru/tools/socialnets-phishing/ — ВКонтакте
- sergeybelove.ru/tools/socialnets-phishing/fb.php — FaceBook
Собственно, что и требовалось доказать.
Так что не переживайте, если увидите данные своих аккаунтов на каком-нибудь баннере. Это не баг, это фича ©
ссылка на оригинал статьи http://habrahabr.ru/post/167873/
Добавить комментарий