Уязвимость в социальной сети «ВКонтакте», которая дает возможность осуществлять XSS-атаки, была зафиксирована исследователем из компании ONsec Дмитрием Бумовым. Источником существования бреши была некорректная обработка эмодзи.
Эксперту удалось обнаружить, что после добавления в текст личного сообщения символов Unicode вместе с особым JavaScript-кодом, при конвертации символов в эмодзи происходит обработка вредоносного скрипта. Обычно после фильтрации входных данных обработка сторонних сценариев не осуществляется, однако защиту социальной сети можно обойти путем добавления символов Unicode.
Для проверки своей находки в одном из сообществ «ВКонтакте» исследователем была опубликована запись о появлении в социальной сети секретных анимированных эмодзи. Чтобы получить возможность пользоваться ими, Бумов предлагал вставлять код в форму отправки сообщения. В коде содержался сценарий, который выводил на экран надпись “You hacked” и осуществлял репост записи на страницу жертвы.
По словам Бумова, он знал о существовании ошибки еще с прошлого года, но у него не было времени на ее проверку. Исследователь передал администрации социальной сети сведения об уязвимости лишь после того, как смог подтвердить ее существование. Хотя ошибки типа self-XSS не подпадают под действие программы вознаграждения за обнаружение уязвимостей, Бумову все же выплатили премию в размере 100 долларов за открытие нового вектора атаки.