ANTICHAT

ANTICHAT (https://forum.antichat.xyz/index.php)
-   Skype, IRC, ICQ, Jabber и другие IM (https://forum.antichat.xyz/forumdisplay.php?f=13)
-   -   Взлом icq c помощью csrf (https://forum.antichat.xyz/showthread.php?t=8039198)

-=D[1]n=- 16.11.2010 01:00
1. Создаешь файл 1.php

Цитата:







2. Создаешь файл 2.jpg

code:



3. Создаешь файл .htaccess

Цитата:



AddType application/x-httpd-php .jpg




Делаешь рассылку в icq.com со словами "Прикольная картинка, как тебе? http://site.ru/2.jpg".

На почту получаешь кучу ретривов и никаких кукисов. Самый чистый csrf.
Если есть масть, переводи фрейм в яваскрипт, а яваскрипт шифруй уже каким хочешь энкодером для обхода фрейма антивирусами.

Источник античат

Dolven 16.12.2010 01:00
Небольшая инфа по этому поводу :
CSRF расшифровывается как “Cross-Site Request Forgery” (Межсайтовая подделка запроса). Данный тип атак направлен на имитирование запроса пользователя к стороннему сайту. Эта уязвимость достаточно широко распространена из за особенностей архитектуры большинства веб-приложений. А именно из-за того, что многие веб-приложения не чётко определяют - действительно ли запрос сформирован настоящим пользователем.

Как пример можно взять процедуру изменение профиля в IPB или phpBB - при изменении номера ICQ или адреса домашней странички у Вас не спрашивают ни пароля, ни кода с какой ни будь картинки. То есть единственное средство распознавания клиента – cookies или сессия (ну иногда ещё referer). Соответственно если с помощью определённого кода заставить браузер отправить нужный нам запрос на сторонний сайт, то запрос может вполне нормально пройти даже к тем скриптам, в которых нужна авторизация – ведь браузер при запросах к сайту отправляет ему и cookies. Главное чтоб пользователь заранее был авторизирован.

В свете того, что большую популярность приобретает технология AJAX, основывающаяся на формировании и отправке HTTP запросов на стороне пользователя, данная атака становится более распространённой и, возможно, в ближайшем будущем CSRF – уязвимость будет так же популярна как сейчас XSS.

aset_abenov 02.03.2011 01:00
кто скажет способ актуален?

FROD-ik 30.05.2011 01:00
вроде как да.

drixer 30.05.2011 01:00
Вы чё тупите? он спросил вопрос 2 месяца назад , какой смысл ты ему шяс ответил ?

centurionjkeee 27.07.2011 01:00
Эти файлы заливать куда-то нужно?

mapaky9 08.08.2011 01:00
Да, надо хостинг с поддержкой php

PrOxY17 13.03.2012 01:00
Хм интересная тема. Нужно попробывать

PsiBoX 13.03.2012 01:00
Цитата:


16.11.2010



Думаю, способ уже не актуален.

Смотри на дату создания темы и на дату последнего сообщения.
Твои некропосты никому не нужны.


Время: 04:51