Autor
|
Tema: Fede_cp y Castg! Simple disclosure de Fotolog.com! xD (Leído 17,816 veces)
|
Castg!
Wiki
Desconectado
Mensajes: 1.191
|
osea, un formulario por get lo que hace es mandar los datos por la url o uri, pero todo lo demas esta perfecto...
|
|
|
En línea
|
|
|
|
~ Yoya ~
Wiki
Desconectado
Mensajes: 1.125
|
Yo codeo en perl y php... Los metodos GET, POST son metodos de peticion HTTP...
Para explotar CSRF inporta mucho el metodo GET o POST, ejemplo.
Si tienes una web vulnerable a CSRF via POST. El usuari de esa web esta limitado a usar BBCODES y las url pasan por referer y verifican si la url no es de la web la ps la deniega en cambio si es de la misma web la acepta.
Por eso digo que para explotar un CSRF metodo POST es mas limitado.
|
|
« Última modificación: 9 Febrero 2010, 18:01 pm por yoyahack »
|
En línea
|
Mi madre me dijo que estoy destinado a ser pobre toda la vida. Engineering is the art of balancing the benefits and drawbacks of any approach.
|
|
|
Castg!
Wiki
Desconectado
Mensajes: 1.191
|
yo como pastas y carnes, mi pileta es azul XD.
sinceramente que lindo lo que nos esformsamos con fede para hacer este post y que venga un tipo a desvirtuarlo por 2 paginas ni da. prq mejor se dejan de molestar, se las arreglan por mail, y comentan sobre NUESTRO post y nuestro tema, ya quede esto no tratamos de hablar de que es una p**a peticion http.
|
|
|
En línea
|
|
|
|
fede_cp
Desconectado
Mensajes: 527
"porque pensar nunca fue entender"
|
osea yoyahack, puede que sea mas limitado, pero en este caso no se da asique poasteaste al pedo que era menos peligroso que esto que lo otro.
saludoss
|
|
|
En línea
|
somos lo que hacemos para cambiar lo que somos
http://elhackerblog.blogspot.com el blog de elhacker.net!!
|
|
|
~ Yoya ~
Wiki
Desconectado
Mensajes: 1.125
|
p**a peticion http.
Yo no vengo a molestar a este foro, a mi solo me gusta colaborar y aveces aprendo cosas de los demas, pero Castg debes aprender a comportarte mejor. Otra cosa, una cosa es molestar y otra debatir un tema, pero bueno no salte con las peticiones HTTP porque se me ocurrió, solo porque tienen que ver con el tema, pero debes aceptar las buenas y las bajas. Claro claro son buenos bug Castg, Felicidades ps.
|
|
|
En línea
|
Mi madre me dijo que estoy destinado a ser pobre toda la vida. Engineering is the art of balancing the benefits and drawbacks of any approach.
|
|
|
|
tragantras
Desconectado
Mensajes: 465
|
sin ánimo ninguno de seguir desvirtuando este post, solo quería remarcar que el bypassing de el referer es cuestión trivial, es decir que la complicación de un csrf por post, quizá tan solo sea cuestion de ingeniera social, más que de problemas técnicos
un saludo y de nuevo felicidades por el descubrimiento =)
|
|
|
En línea
|
|
|
|
Castg!
Wiki
Desconectado
Mensajes: 1.191
|
jejej muchas gracias. me gusto mucho la forma de usar el frame ya que puedes crear un dominio y poner un frame a google(visible) y otros a csrf(invisibles) un saludo grande
|
|
|
En línea
|
|
|
|
WHK
|
Lo agregué al post de recopilaciones, saludos
|
|
|
En línea
|
|
|
|
|
|
|