Fede_cp y Castg! Simple disclosure de Fotolog.com! xD

Iniciado por Castg!, 7 Febrero 2010, 06:03 AM

0 Miembros y 1 Visitante están viendo este tema.

Castg!

osea, un formulario por get lo que hace es mandar los datos por la url o uri, pero todo lo demas esta perfecto...

~ Yoya ~

#31
Yo codeo en perl y php... Los metodos GET, POST son metodos de peticion HTTP...

Para explotar CSRF inporta mucho el metodo GET o POST, ejemplo.

Si tienes una web vulnerable a CSRF via POST. El usuari de esa web esta limitado a usar BBCODES y las url pasan por referer y verifican si la url no es de la web la ps la deniega en cambio si es de la misma web  la acepta.

Por eso digo que para explotar un CSRF metodo POST es mas limitado.
Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.

Castg!

yo como pastas y carnes, mi pileta es azul XD.


sinceramente que lindo lo que nos esformsamos con fede para hacer este post y que venga un tipo a desvirtuarlo por 2 paginas ni da. prq mejor se dejan de molestar, se las arreglan por mail, y comentan sobre NUESTRO post y nuestro tema, ya quede esto no tratamos de hablar de que es una p**a peticion http.

fede_cp

osea yoyahack, puede que sea mas limitado, pero en este caso no se da asique poasteaste al pedo que era menos peligroso que esto que lo otro.


saludoss
somos lo que hacemos para cambiar lo que somos

http://elhackerblog.blogspot.com el blog de elhacker.net!!

~ Yoya ~

Cita de: Castg! en  9 Febrero 2010, 17:58 PMp**a peticion http.
Yo no vengo a molestar a este foro, a mi solo me gusta colaborar y aveces aprendo cosas de los demas, pero Castg debes aprender a comportarte mejor.

Otra cosa, una cosa es molestar y otra debatir un tema, pero bueno no salte con las peticiones  HTTP porque se me ocurrió, solo porque tienen que ver con el tema, pero debes aceptar las buenas y las bajas.
Claro claro son buenos bug Castg, Felicidades ps.

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.

Castg!

bueno, gracias. solo digo que hagan otro tema para debatir, porq aca ponemos los bugs siendo xss y csrf, y metodos get  post no estan muy nombrados aca, asi que porfa la proxima hagan otro post ;)

tragantras

sin ánimo ninguno de seguir desvirtuando este post, solo quería remarcar que el bypassing de el referer es cuestión trivial, es decir que la complicación de un csrf por post, quizá tan solo sea cuestion de ingeniera social, más que de problemas técnicos

un saludo y de nuevo felicidades por el descubrimiento =)
Colaboraciones:
1 2

Castg!

jejej muchas gracias. me gusto mucho la forma de usar el frame ya que puedes crear un dominio y poner un frame a google(visible) y otros a csrf(invisibles) ;) un saludo grande ;)

WHK

Lo agregué al post de recopilaciones, saludos  :D