В известной социальной сети vkontakte.ru, в сервисах выявлена XSS-уязвимость, На базе которой появилось множество программных средств, специализирующихся на взломе пользователей, такие как vkeiditor, vkshtorm, reVKecc32 и другие.

Смысл заключатся в следующем: в исходный код php можно внедрить javascript, который в свою очередь при прямом доступе к mysql исполнится по сетевым протоколам. Разработчики Вконтакте это учли, вследствие чего доступ напрямую к серверам запрещен. Однако скрипты сохраняется непосредственно в кэше, откуда она без проблем загружается.

После сохранения в кэше системы скрипт может открыть новый тоннель с ссылкой на себя, после чего он загрузит её из кэша и javascript выполнится. Блокировщик UPD - единственное, что спасает, но обычные пользователи при виде открывающегося Вконтакте данную настройку не используют. Работоспособность проверялась Win Nix системах и FF3RC1, в других операционных системах с другими протоколами не гарантированна.

• xss червь
• как найти xss уязвимость в контакте
• xss уязвимости вконтакте
• xss черви где размещать
• VKEiditor