Тег: #csrf — Hacker News Digest

Adult sites are stashing exploit code inside svg files (arstechnica.com)

Суть атаки: порносайты внедряют вредоносный код в файлы .svg, которые при клике заставляют браузер ставить лайк заданным постам в Facebook без ведома пользователя.
Техника: SVG-файлы содержат скрытый JavaScript, зашифрованный через «JSFuck». После раскодировки загружается цепочка скриптов, завершающаяся трояном Trojan.JS.Likejack, который кликает «Like».
Условие: пользователь должен быть авторизован в Facebook в этом же браузере.
Масштаб: десятки сайтов на WordPress используют схему; Facebook блокирует связанные аккаунты.
История: злоупотребления SVG-файлами фиксировались раньше — эксплойты Roundcube в 2023 г. и фишинг Microsoft в июне 2025 г.

by The-Old-Hacker • 10 августа 2025 г. в 11:45 • 81 points

Вредоносные SVG-файлы на порносайтах заставляют браузер ставить «лайк» на Facebook без ведома пользователя.
Это работает через обычный CSRF: SVG, загруженный в iframe или открытый в новой вкладке, выполняет JavaScript, который вызывает Facebook-API.
Если SVG вставлен как картинка (<img src=file.svg>), скрипты не запускаются; уязвимость появляется только при «полном» показе SVG.
Некоторые считают, что проблема не в SVG, а в отсутствии защиты от CSRF со стороны Facebook.
Пользователи советуют блокировать JS по умолчанию (NoScript/uBlock), использовать режим инкогнито или отдельные контейнеры для Facebook.