CSRF - Borrar Cualquier comentario de Fotolog.com

Iniciado por ‭lipman, 4 Mayo 2009, 15:18 PM

0 Miembros y 1 Visitante están viendo este tema.

‭lipman

No se si considerar esto bug, espero que me lo digais vosotros =P

El caso es que hay una forma bastante sencilla de borrar cualquier comentario de fotolog. Explico:

Es NECESARIO que la víctima esté logueada. Puesto que lo que vamos a hacer, es pasarle un enlace para que borre su comentario.

El enlace que debes pulsar para borrar un comentario de un fotolog propio es este:
http://www.fotolog.com/gb.delete?comment=XXXXXXXXX&photo=YYYYYYYYYY

Así que, simplemente, le pasas ese enlace a la víctima y borrará el comentario que quieras de la foto que quieras.

Además, puedes incluso, hacerte una página, y llenarla de iframes hacia multiples direcciones para que borre todos los comentarios que tu quieras.

¿Como averiguar X e Y?
X es el número de comentario:

Para hayarlo hacemos los siguiente:
-Vamos al fotolog de la persona y miramos el código fuente:

Citar<div class="module">

   <a name="comment_1743319567"></a>
   <div class="comment">
      <div class="byline">
         <a href="http://www.fotolog.com/user">user</a>
         <span>dijo en 3/05/09 14:48</span>
      </div>
      <div class="cfx">
         <p>COMENTARIO</p>

Ahí tenemos el número de comentario que es. Ahora nos toca saber que es Y

Y es el número de la foto y simplemente poniendo el ratón encima de la imagen de donde queremos borrarlo te aparece lo siguiente:
http://www.fotolog.com/usuarioSuyo/123456789

Ese número es Y

Y como dije, ahora mandas el enlace al propietario del fotolog, y borra el comentario.

Ya me contareis que tal os ha parecido.

Saludos

FUENTE: http://consolasyjuegos.es/2009/05/11/fallo-en-fotologcom-permite-borrar-cualquier-comentario/

braulio--


EvilGoblin

la persona debe estar logueada

yo lo probe hace un tiempo atras y funciona ( es una de las pocas cosas q puedes hacer sin confirmacion de contraseña)

Experimental Serial Lain [Linux User]

>FedeX<

Con '<img src="">' creo que tambien funcionaba... Así que basta con que solo lea un correo....

Y si, es un bug ya que el link debería incluir alguna clave o al menos dar validación de referer..

Jubjub

Me encantan todos estos crsf que estan saliendo ultimamente, probare este con un poco de javascript y bucles.. muahahah :P

Gracias por compartirlo :D
Jugando con Fósforoshacking con un tono diferente


.
porno

invisible_hack

#5
¡¡Pedazo bug, vaya que si es un bug!!

Ahora ya sería la caña si en vez de comentarios hubiera algun modo de borrar lo que es la actualización del Fotolog de determinada fecha, con eso si que se podrian mandar a tomar por saco fotologs enteros...  :-X

Buen descubrimiento tio, por cierto....¿cómo llegaste a dar con él?

EDITO: Probado y funciona de lujo  ;D ;D
"Si no visitas mi blog, Chuck te dará una patada giratoria"

HardieVon

por ahi vi en el metro flog que hay uno que es para agregar amigos automaticamente, la verdad esos descuidos son de novatos.

en este foro  posteo algo para evitar este tipo de ataques, con 4 lineas de codigo si no es que menos xD

y sin necesidad de esa basura de los capcha que ya me tienen hasta la madre.

hahahahaha

invisible_hack

Por cierto, además de borrar comentarios, también podemos bloquear usuarios del fotolog, para que no puedan volver a comentar hasta que el admin no los desbloquee...

La url que hay que pasarle al Admin del sitio es casi igual, solo que cambia, si os fijais en la url de Lipman, para borrar usa la funcion gb.delete, pues para bloquear usa la funcion gb.block de modo que si queremos bloquear un contacto deberemos pasarle la siguiente url:

www.fotolog.com/js/gb.block?comment=XXXX&photo=YYYYY

Saludos  :xD
"Si no visitas mi blog, Chuck te dará una patada giratoria"

Erik#

Lo que podemos hacer es un script que con un for pase por todos los numeros del 0 a 99999999 de X y Y y si tiene alguna coincidencia, pam! jodido! :)

Karcrack

Cita de: p33r en 11 Mayo 2009, 18:36 PM
Lo que podemos hacer es un script que con un for pase por todos los numeros del 0 a 99999999 de X y Y y si tiene alguna coincidencia, pam! jodido! :)
Un bucle bastante largo.. si lo haces con JS no se si el user se quedara tanto rato en la pagina :-\