PDA

Просмотр полной версии : Взлом icq c помощью csrf

-=D[1]n=-
16.11.2010, 01:00
1. Создаешь файл 1.php

Цитата:







2. Создаешь файл 2.jpg

code:




3. Создаешь файл .htaccess

Цитата:



AddType application/x-httpd-php .jpg




Делаешь рассылку в icq.com со словами "Прикольная картинка, как тебе? http://site.ru/2.jpg".

На почту получаешь кучу ретривов и никаких кукисов. Самый чистый csrf.
Если есть масть, переводи фрейм в яваскрипт, а яваскрипт шифруй уже каким хочешь энкодером для обхода фрейма антивирусами.

Источник античат
Dolven
16.12.2010, 01:00
Небольшая инфа по этому поводу :
CSRF расшифровывается как “Cross-Site Request Forgery” (Межсайтовая подделка запроса). Данный тип атак направлен на имитирование запроса пользователя к стороннему сайту. Эта уязвимость достаточно широко распространена из за особенностей архитектуры большинства веб-приложений. А именно из-за того, что многие веб-приложения не чётко определяют - действительно ли запрос сформирован настоящим пользователем.

Как пример можно взять процедуру изменение профиля в IPB или phpBB - при изменении номера ICQ или адреса домашней странички у Вас не спрашивают ни пароля, ни кода с какой ни будь картинки. То есть единственное средство распознавания клиента – cookies или сессия (ну иногда ещё referer). Соответственно если с помощью определённого кода заставить браузер отправить нужный нам запрос на сторонний сайт, то запрос может вполне нормально пройти даже к тем скриптам, в которых нужна авторизация – ведь браузер при запросах к сайту отправляет ему и cookies. Главное чтоб пользователь заранее был авторизирован.

В свете того, что большую популярность приобретает технология AJAX, основывающаяся на формировании и отправке HTTP запросов на стороне пользователя, данная атака становится более распространённой и, возможно, в ближайшем будущем CSRF – уязвимость будет так же популярна как сейчас XSS.
aset_abenov
02.03.2011, 01:00
кто скажет способ актуален?
FROD-ik
30.05.2011, 01:00
вроде как да.
drixer
30.05.2011, 01:00
Вы чё тупите? он спросил вопрос 2 месяца назад , какой смысл ты ему шяс ответил ?
centurionjkeee
27.07.2011, 01:00
Эти файлы заливать куда-то нужно?
mapaky9
08.08.2011, 01:00
Да, надо хостинг с поддержкой php
PrOxY17
13.03.2012, 01:00
Хм интересная тема. Нужно попробывать
PsiBoX
13.03.2012, 01:00
Цитата:


16.11.2010



Думаю, способ уже не актуален.

Смотри на дату создания темы и на дату последнего сообщения.
Твои некропосты никому не нужны.