- PVSM.RU - https://www.pvsm.ru -

Легальный Clickjacking ВКонтакте

Поговорим о виджете для авторизации.

Нам говорят [1], что:

С помощью виджета для авторизации Вы можете максимально просто предоставить пользователям возможность авторизовываться на Вашем ресурсе.

Также, нам говорят [2], что:

В результате авторизации виджет возвращает следующие поля: uid, first_name, last_name, photo, photo_rec, hash.


Рецепт:

1. Создаем приложение.
2. Добавляем виджет на наш сайт.
3. С помощью js заставляем его следовать за курсором.
4. С помощью css делаем его прозрачным.
5. Пользователь делает клик на странице.
6. ????????
7. PROFIT!

Для работы демо, вы должны быть авторизованы Вконтакте.

Демо [3]

Я оставил полупрозрачность для лучшего понимания механики процесса. В реальной жизни значение opacity будет равно нулю.

Мне подумалось, что нехорошо данные о пользователях раздавать и я написал в службу поддержки.
Ответил мне некто Агент поддержки #920:

Это не уязвимость. Да и что в этом страшного?

Такая вот недокументированная возможность…

Автор:

Источник [4]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/vkontakte/64078

Ссылки в тексте:

[1] Нам говорят: https://vk.com/dev/Auth

[2] нам говорят: https://vk.com/dev/widget_auth

[3] Демо: http://jsfiddle.net/Ej25j/

[4] Источник: http://habrahabr.ru/post/228617/