спасибо, отличная статья!
вот тут есть дополнеение к статье:
http://forum.antichat.ru/nextnewesttothread51036.html

XSRF или CSRF

XSRF - Cross Site Request Forgery (X и C взаимозаменяются по аналогии с xss, но можно встретить и название CSRF), а по-русски - межсайтовая подстановка запроса.
Уязвимость возникает вследствие отсутствия проверки источника данных, передаваемых скриптам сервера. Позволяет передать заранее сформированные данные форм ввода (напр. отправка сообщений, смена подписи\аватара) с другого узла скриптам атакуемого ресурса. При этом передаются те же данные, которые мог бы ввести сам пользователь. Но никогда не стал бы
Может не очень правильно объяснил, ибо своими словами Короче, теперь поясню суть доступнее. Есть на форуме возможность отправки сообщений. Можно сформировать такой html-код, что при его открытии в браузере, пользователь, запустивший код (и при этом авторизованный на том самом форуме), сам того не зная, отправляет админу матерные сообщения... ну это только например, всё зависит от нашей фантазии

Поиск уязвимости

Ищется империческим путём, в народе так же именуемым методом тыка. xD
Так же многие сканеры уязвимостей веб-интерфейсов (напр. w3af, jsky и т.п.) умеют анализировать возможность проведения xsrf-атаки.
Получается, что проверять, есть уязвимость или нет, мы будем в процессе её эксплуатирования. Сначала заготовим (сформируем) запрос, а потом проверим, сработает или нет.

Проводим XSRF-атаку

Суть формировки запроса к атакуемому ресурсу заключается в сохранении кода формы отправки запроса (1), подстановки в неё наших значений (2) и создания кода автоисполнения запроса (3). Далее разберём каждый пункт подробно. В качестве жертвы выберем сами себя, можете проверять на любом форуме, где вы зарегестрированы. Что будете с собой делать - решать вам) Можно отправить самому себе сообщение для начала, а можно и подпись поменять на "я идиот" (но это уже для врагов, а не для себя).
Я буду разбирать всё на примере отправки сообщения самому себе на форуме под булкой (VBulletin). Первый попавшийся лично мне под руку был HPC

1) Сохраняем нужный код. Если решили отправлять сообщения, зайдём на страницу отправки (мой кабинет -> новое сообщение) и откроем исходный код. Отсюда нам понадобится не всё, а только форма отправки сообщения (заключена в теги ). Ищем в исходном коде слова, находящиеся в форме отправки где-нибудь в начале. Я буду искать текст "Список получателей". Тут же рядом находится открывающий тег и копируем в текстовик всё, что между ними. У меня получилось вот такое безобразие.
2) Подставляем значения (формируем запрос). Надеюсь, все читающие знают или хотя бы понимают html, поэтому без проблем вкурят, по какому принципу будут выполнять подстановку в будущем самостоятельно (вне этого римера). Итак, обратимся к странице отправки сообщения:
Спойлер
IMAGE http://hacker-school.ucoz.ru/img/xsrf.png

Как видим, нам нужно заполнить 3 поля: получатель (1), тема сообщения (2) и сам текст (3). Давайте найдём их в сохранённом коде %) Есть тут такая фишка: можно ввести в поля, например, слово "упячка", нажать "Предварительный просмотр сообщения" и моментально найти по этому слову в коде, куда нужно подставлять свои значения. Ткая вот военная хитрость! :wink:
Вот получатели(строка 43):

code:


Обратите внимание, что кроме textarea так же распространены простые формы ввода (input type="text"), где значение (содержимое формы) вписывается в параметр value, как в случае с заголовком сообщения (строка 104):

code:


А вот и само сообщение (строка 333):

code:


2) Делаем автовыполнение запроса.
Для этого в конец нашего кода нужно дописать такую строку:

code:


Чтобы закрыть все теги, а в самое начало добавим строку

code:


, где NAME нужно заменить на имя вашей формы.
Пример: если тег формы в начале был такой:

code:


, то имя формы здесь vbform (name="vbform"), то есть NAME заменяем на vbform.
Этот код будет выполнять действие submit сразу после загрузки формы.
Чуть не забыл самую важную вещь! Для того, чтобы форма находила скрипт-обработчик, куда нужно отправлять все данные формы, нужно в теге формы атрибуту action прописать полный путь до скрипта. То есть сейчас мы имеем относительный путь:
[/quote], а нужен нам полный:

Цитата:






Это очень частая ошибка! Сам в этом только что убедился, потому что наступил на эти грабли :ag:
Думаю, в этом не было абсолютно ничего сложного. Сохраняем наш код в файлс расширением .html и будем проверять, сработает ли атака

Тестирование

Удостоверьтесь, что вы авторизованы на форуме и просто откройте в браузере только что сохранённый файл. Ждём пару секунд до полной загрузки и... после отправки сообщения нас перекидывает обратно в личный кабинет (нет, это не мы сделали, так форум устроен xD) и тут же результат: входящее сообщение от самого себя. xD Как видим, всё прекрасно работает!
Спойлер
IMAGE http://hacker-school.ucoz.ru/img/csrf.png

Практическое применение

Итак, у нас всё заработало и сами себе мы сообщение отправить можем. Это конечно хорошо, но "Как это можно использовать?" - спросите вы. Да элементарно, Ватсон! xD Заливаем нашу страничку на любой хостинг и каждый, кто пройдёт по ссылке на нашу страницу, будет выполнять этот код (при услови, что он авторизован на сайте, чтобы выполнить запрос) и отправлять нам это сообщение. Нетрудно догадаться, что, модифицировав код под наши конкретные нужды, можно в принципе заставить пользователя совершить почти любое действие. Всё зависит от атакуемого ресурса, ваших целей и фантазии! =) Суть уловили? Врубайте фантазию и смекалку!

//Update (от 04.03.2011) Спасибо SokoL_у за ценные замечания.
{
Обрадовались? Рано. =) Залейте ту же страницу на локалхост или любой хостинг и зайдите на неё. Работает? Хрен. Анализируем наши ошибки. Внимательно посмотрите, какие данные передаются "атакуемому" серверу из формы отправки сообщения. Особенно нас будет интересовать то, чего не видно простым смертным. Скрытые поля:

code:


Здесь name="securitytoken" как бы намекает Включив соображалку, можно догадаться, что значение поля генерируется при запросе формы отправки сообщения и сверяется каждый раз при передачи данных формы серверу. Ясен пень, значение рандомное и уникальное для каждого юзера. Посему, наш скрипт с XSRF здесь отработает только 1 раз... и только под нашим же аккаунтом.

Сделали важный вывод - перед тем, как хакать интернеты (lol), проверяем форму на налчие подобных скрытых полей. Ну и не забывваем реализовывать подобный механизм идентификации пользователя при написании собственных веб-приложений. Самым очевидным решением является использование в качестве контрольного значения идентификатора сессии. Жаль только, что печеньку можно отсниффать, так что для искушённых есть более надёжные методы.

Однако это не значит, что всё вышенаписанное - бесполезный бред. При нормальных условиях (атм. давление 101 кПа и t=273 Кельвина ), отсутствии механизма проверки пользователя, данная атака будет осуществима.
}

Теперь пару слов о том, как сделать код менее палевным, чтобы его не было видно жертве.
Создайте файл .html с таким содержимым:

code:


1.html замените на имя вашего файла с XSRF-кодом и залейте оба файла в одну папку на хостинге. Теперь, дав ссылку жертве на последний файл, она будет смотреть картинку, а действие уже выполнится. Суть заключена в теге ifrаmе. По сути вы можете вставить этот код в любой html файл (и даже при помощи xss-уязвимости можно провести xsrf-атаку :wink для незаметного выполнения атаки:

code:


"http://yourhost.ru/xsrf.html" коментировать не нужно? xD

Подведём скромные итоги

• Мы узнали о новом (для кого-то) виде уязвимостей
  
• Научились проводить XSRF-атаки
  
• Знаем, зачем для смены пароля нужно вводить старый и понимаем, что можно сделать, если пароль меняется без подтверждения

Вот вам и мозговая гимнастика: из последних 2 пунктов сделать для себя чёткие выводы, додумать всё до конца и напридумывать ещё 1001 способ применения этой уязвимости.

M@ZAX@KEP статью написал хорошую давно не было даже очень,а теперь как можно додумать чтобы исполнить третий пунтк?тоесть как сделать чтобы отрпавить всем друзьям?

Статья хорошая. Было бы ещё хорошо видос снять!

Цитата:




Заголовок страницы




Тут лутше сделать так

code:


body удалить

думаю в форму "Список получателей" вписать друзей!

я пробую на другом сайте там два слова action ,
а то что то не работает на том сайте

Цитата:

Сообщение от stink200

я пробую на другом сайте там два слова action ,
а то что то не работает на том сайте

Нет!Тут в action должен быть полный путь и все... менять больше ничего не надо, только значение параметрa name нужно в !

блин МАЗАХАКЕР статья кул, отправить все получилось вот ток единственный вопрос:
КАК это моно использовать кроме смены пасса, спама и ЗАСОРЕНИЯ ЛС определенному человеку?!

Почитал, много чего не понял, хотелось бы видяху, как к XSS.
Хотя особо не пытался вникнуть, завтра ещё раз почитаю, но видео не помешало бы.

Цитата:

Сообщение от Starwareznik

Почитал, много чего не понял, хотелось бы видяху, как к XSS.
Хотя особо не пытался вникнуть, завтра ещё раз почитаю, но видео не помешало бы.

http://www.google.ru/search?q=XSRF&t...vgc&hl=ru&aq=f

Цитата:


кроме смены пасса



А этого мало как способ получения акка?
Как использовать... ну если воткнуть CMS-ку атакуемого сайта себе на локалхоcт, сделать себя админом и порыться в админке, можно составить разные интересные запросы через XSRF уже не для своего localhost_a, а для атакуемого сайта. :wink:

Цитата:

Сообщение от сергей1980

http://www.google.ru/search?q=XSRF&t...vgc&hl=ru&aq=f

Онлайн видео мне не поможет, потому что мне скорости не хватает для воспроизведения :turned:

1) жмёшь play
2) жмёшь pause
3) идёшь курить\есть\сцать\спать\гул ять пока качается
4) приходишь, нажимаешь play и кайфуешь

ЗЫ времени на видос ну никак нет... хотя впереди каникулы, хз =)

Цитата:

Сообщение от M@ZAX@KEP

1) жмёшь play
2) жмёшь pause
3) идёшь курить\есть\сцать\спать\гул ять пока качается
4) приходишь, нажимаешь play и кайфуешь

ЗЫ времени на видос ну никак нет... хотя впереди каникулы, хз =)

Чтобы у меня воспроизвелось видео 20 минутное мне нужно: Спать, гулять, спать, есть, спать прошло 3 дня и вуаля!!!

Ну на каникулах если время будет сделай обязательно :yes:

Цитата:


Интересено на майл.ру все дырки закрыты?)))



Нет))

otvet.mail.ru
что можно: подделать get запрос подписывания на вопрос

code:


МОЙ МИР

my.mail.ru
что можно: подделать get запрос добавления школы/да и любой инфы

code:


Источник

Тема ваще кульная, спасибо M@ZAX@KEP за ознакомление, посмотрел инфу на других сайтах, сразу разобрался в сути. Интересено на майл.ру все дырки закрыты?)))

Цитата:




Заголовок страницы




Я не думаю, что именно так разумно делать... Дашь ты ламеру ссылочку, типа на что-то стоящее, а он откроет ее и будет смотреть на картинку, как козел на новые ворота... Подозрительно очень. Далее пойдут возмущения, и все поимут, что именно ссылка во всем виновна, именно она делает автоисполнение формы. Лучше просто после выыполнения скрипта переадресовать его на какую-то другую страничку. Например, вы говорите, что нашли очень интересную статью, скажем, например, на Http://randomhost.com/statia.html и даем ссылку вида:

code:


А "НАШ ФАЙЛ" будет содержать следующий код

code:


Все. Чувачок кликнет по ссылке, на которой будет написано "Http://randomhost.com/statia.html", откроет "НАШ ФАЙЛ", а там его переадресует на действительно существующую статью, которую вам, конечно же, сначала предстоит найти Ламер даже ничего не заподозрит)

Можно также сделать так, чтобы скрипт срабатывал только при нажатии одного конкретного человека. Например, вам нужно подставить кого-то. Кидаете ссылку на форум, люди переходят по ней, читают, к примеру, статью, но действие скрипта не выполняют. А ваша жертва, прочитав статью, выполнит код. Для реализации этого нужен хост с поддержкой php, и немного подредактированный наш основной файл автопоста php кодом. Немного позже я его выложу сюда, сейчас времени нет.
Ах, да, для этого случая вам предстоит вычислить ip жертвы) Но, думаю, это не так трудно

Решил попробовать на форуме phpBB

Отправка лс на форуме отключена, хотел чтоб запостился в теме:

например адрес темы сам

code:


но в
актион

code:


как я же использую его? если просто постить сразу в posting.php не получиться, потому что должна быть тема куда постить то

1) не совсем вкурил зачем это в тэге body?

HTML highlight

2) убрал из тэга form:

HTML highlight

3) как я и говорил, тема и всё такое передаётся в форме:

HTML highlight

Из вышенаписанного имеем:

code:


Но это не важно, потому что параметры всё равно передаются в форме через POST. А вот пойдут ли они так ссылкой через GET - хз, так что лучше не выпендриваться.
4) из того же куска кода выше видим, что у нас 2 варианта действия submit (2 кнопки - отправка и предпросмотр). Посему убираем предпросмотр:

HTML highlight

И что здесь сложного? =)
Да, чуть не забыл... получилась такая шняга:

HTML highlight

hugolom, значит тема передаётся скрипту posting.php вместе с остальными данными через эту форму. Исчи))

хм.. все так же, тоже просто показывает форум добавления сообщения postion.php

Добавлено через 6 минут
короче при заходе на сайт форма не хочет отправлять значения.

Добавлено через 18 часов 14 минут
Решил протсо изменить данные в профиле,

http://forum.kai.ru/profile.php?mode=editprofile

PHP highlight


вообще даже не переходит на http://forum.kai.ru/prof...

изменил кнопка отправить на

PHP highlight


переход был! но это был просто переход, ни каким значений не передалось..

Добавлено через 20 часов 3 минуты
попробуй вот

code:

Проблема вроде в том:

если открываешь htmlку в браузере то сразу переправляет на posting.php , но и там уже просто поля настоящие для заполнения,

Но если вернуться к html и самостоятельно нажать кнопка Отправить то все добавляется..

Нужно как то чтоб автоматом нажало на кнопку

code:

Данный способ работает почти везде. Где нет ключа безопасности.
Который каждый раз новый.
Например на вобле
В исходном коде:

code:

Есть защита в виде referer :

Скрытый текст (вам необходимо авторизоваться):


У вас нет прав чтобы видеть скрытый текст, который находится здесь

[H]acke[R], ну проверка реферера это один из способов защиты от csrf.
Только я не совсем понял, это сейчас был вопрос или заметка к способам защиты?))

Ещё это можно использовать если на сайте есть xss post запросе.

Мазахакер, спасибо тебе. Давно искал. +
ЗЫ Можно отправить не картинку, а в теле прописать сотню-другую уведомлений:

code:

Цитата:

Сообщение от nosorog5551

А если скрипт обработки будет уникальным ?
Тоесть , у меня есть форма вырезанная из html и верхняя строчка выглядит так :
09728592/edit/profile[/B]">.
Значит работать будет только на моем аккаунте , но можно ли это обойти ?

Просто нужно поменять айди, выделенный красным, на id жертвы. Но врядли прокатит с изменением данных в профиле - обычно при этом требуется знать пароль.

но это ведь очень не удобно , каждой жертве менять , быть может есть способы универсальный сделать адрес ?

А если скрипт обработки будет уникальным ?
Тоесть , у меня есть форма вырезанная из html и верхняя строчка выглядит так :
Спойлер

.
Значит работать будет только на моем аккаунте , но можно ли это обойти ?

M@ZAX@KEP,можно сделать быстрей.
Нужно только знать имя формы и все.

PHP highlight


Вот так думаю быстрей...

PHP highlight

Не могли бы помоч , с первым экспиререментом ...
Вот исходная страничка , я пытался изменить её , но не получилось :
Спойлер

Interes.cc • Личный раздел • Подпись



function getElement(iElementId)
{
if (document.all)
{
return document.all[iElementId];
}
if (document.getElementById)
{
return document.getElementById(iElementId);
}
}

function toggleElement(oElement)
{
if (oElement.style.display == "none")
{
oElement.style.display = "";
}
else
{
oElement.style.display = "none";
}
}

// 0)
{
if (base_url.indexOf('?') == -1)
{
document.location.href = base_url + '?start=' + ((page - 1) * per_page);
}
else
{
document.location.href = base_url.replace(/&/g, '&') + '&start=' + ((page - 1) * per_page);
}
}
}

/**
* Find a member
*/
function find_username(url)
{
popup(url, 760, 570, '_usersearch');
return false;
}

/**
* Mark/unmark checklist
* id = ID of parent container, name = name prefix, state = state [true/false]
*/
function marklist(id, name, state)
{
var parent = document.getElementById(id);
if (!parent)
{
eval('parent = document.' + id);
}

if (!parent)
{
return;
}

var rb = parent.getElementsByTagName('input');

for (var r = 0; r





FAQ
Пользователи{ MCHAT_TITLE }{ THANKSLIST }Поиск
Личный раздел
Новых ЛС: 0






Список форумов





Выход [ WhiteDeath ]






Предыдущее посещение: Сегодня, 14:19
Текущее время: 13 ноя 2011, 17:01









Настройки



Обзор






Профиль



» Личные данные

» Подпись

» Аватара

» Регистрационные данные








Личные настройки






Личные сообщения






Группы






Друзья и недруги






mChat






Друзья




В сети



Нет друзей в сети





Не в сети



Нет друзей вне сети







Подпись

Это текст, который может автоматически добавляться к вашим сообщениям. Максимальная длина в символах: 275.



//






//
















Размер шрифта:
Очень маленький
Маленький
Нормальный

Большой

Огромный


















Деньги это не цель , это всего лишь средство ... !!!








//










Настройки



BBCode ВКЛЮЧЁН


[img] ВКЛЮЧЁН


[flash] ВЫКЛЮЧЕН


[url] ВКЛЮЧЁН


Смайлики ВКЛЮЧЕНЫ








Отключить в этом сообщении BBCode




Отключить в этом сообщении смайлики




Не преобразовывать адреса URL в ссылки





    






Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group

twilightBB Style by Daniel St. Jules of Gamexe.net


Русская поддержка phpBB


А вот это с помощью этого я пытался задать запрос , на смену подписи на "да ..." :Спойлер


Подпись

Это текст, который может автоматически добавляться к вашим сообщениям. Максимальная длина в символах: 275.



//






//
















Размер шрифта:
Очень маленький
Маленький
Нормальный

Большой

Огромный


















Да ...








//










Настройки



BBCode ВКЛЮЧЁН


[img] ВКЛЮЧЁН


[flash] ВЫКЛЮЧЕН


[url] ВКЛЮЧЁН


Смайлики ВКЛЮЧЕНЫ








Отключить в этом сообщении BBCode




Отключить в этом сообщении смайлики




Не преобразовывать адреса URL в ссылки





    



На страничку заходил , но почему - то не нажималась кнопка "Отправить" , если же я сам нажимал то значения менялиь ...

body onload="document.forms['post'].submit();"

form name="ucp"

Что-то не сходится, ога? =) Просто надо внимательнее читать.

1. а если там есть каптча, при отправке смс? 2. Я понял как в формы подставлять, а вот смс автоматически отправится? Тоисть ему не нужно нажимать на Отправить, Сохранить?

А чем форма отправки смс отличается от формы отправки ЛС? Разве что капча не позволит провести атаку.

а как переобразовать эту форму. я пытался но тут видно три названия форм. еще если я хозяин сайта и поставлю на главной такую штуку то зареганные люди на моем сайте при посещении сайта будут автоматически отправлять смс? вот код
code:

hrafa, имени формы (атрибута name в теге form) тут нет ни одного. Дописываем сами.

Цитата:


если я хозяин сайта и поставлю на главной такую штуку то зареганные люди на моем сайте при посещении сайта будут автоматически отправлять смс?



Вопрос не понятен. Абстрагируйся от отправки смс, говорим о csrf атаке в целом.
Ты хочешь сделать автосабмит формы на своём сайте? Для этого не нужна xsrf, нужные действия можно и так прокодить если сайт твой.
Хочешь сделать автосабмит формы на чужом сайте через всех посетителей своего сайта? Для этого посетители должны быть авторизованы на атакуемом ресурсе (если там требуется авторизация) и там должна присутствовать csrf уязвиомсть (нет капчи, нет скрытых уникальных идентификаторов формы [aka security token] в её коде).

спасибо большое. понял теперь как сделать. А вот верхний скрипт должен таким быть или ошибки допустил? <form class="comm block"
action="b/edit/comm-add/ b/15447/p/1" method="post" name="haker"... И т.д

Да, всё чётко. =)