Помните мой пост про безопасность АТ? Кое-что починили. Но не всё. Продолжаем...

Пишу сюда, потому что в прошлый раз это сработало быстрее.

После прошлого поста часть дыр закрыли, спасибо. Но я проверила ещё раз, и вот что до сих пор работает.

1. Полноэкранный оверлей

Можно вставить в комментарий или пост элемент, который закроет весь экран. Полностью. Поверх всего. Пользователь не увидит ни контент, ни кнопки, ни крестик.

Чем грозит: любой тролль может «выключить» чужой пост или целую ленту обсуждений. Открыл страницу, видишь только то, что вставил злоумышленник.

2. Выполнение скриптов через iframe

В текстовое поле можно вставить iframe, который выполнит произвольный код прямо на странице АТ.

Чем грозит: это уже не шалость. Через это можно перехватить сессию пользователя, перенаправить на фишинговый сайт, действовать от чужого имени.

3. Тег embed с позиционированием

Разрешён тег embed с опасными стилями. Можно вставить элемент, который прилипнет поверх страницы.

Чем грозит: ещё один способ перекрыть контент или подсунуть визуальную обманку.

4. Фейковая форма входа

Через чистый HTML+CSS можно собрать окно «Ваша сессия истекла, войдите снова» - с полями логина и пароля. Выглядит как настоящее.

Чем грозит: классическая фишинговая атака. Пользователь вводит данные, думая, что это АТ, а они уходят злоумышленнику. На коммерческой платформе, где привязаны деньги.

В поддержку написала, жду ответ.