Mensajes

Me han hackeado!!! quiero a mi mamáaa :'(

El de h3ctor no funciona, presione enter como 500 veces y  nada en su juego.

Probaré el de yoya otraves...

¡Un error ha ocurrido!
No tienes los permisos necesarios modificar la configuración de otros perfiles.

xD creo que te has equibocado de id de usuario
Buena idea lo del popup, asi evitas el referer también porque se redirige desde about:blank, pero los datos del form son incorrectos por alguna razón.

Acabo de jugar un juego donde presioné enter como 500 veces y no pasó nada con mi firma

Quien mas quiere jugar?

Esperar q el pollo conecte xD

El juego nunca llegó mejor juego con yoya

--------------------------------------------------------------------
Atencion a todos los POLLOS!!
Regalamos cuentas de email a el JUAQKER.NOT si participas en nuestro juego online!!

Para participar tienes que citar este mensaje y recibiras en tu inbox un correo con un link para el juego!


Not Scam, not Spam!
No te olvides de citar tambien la imagen!
Solo juega y gana!

Re-cintando... h3ct0r estaba primero que yoya... quiero mi juego!

Hector, no me ha llegado el enlace de mi juego joder!

--------------------------------------------------------------------
Atencion a todos los POLLOS!!
Regalamos cuentas de email a el JUAQKER.NOT si participas en nuestro juego online!!

Para participar tienes que citar este mensaje y recibiras en tu inbox un correo con un link para el juego!


Not Scam, not Spam!
No te olvides de citar tambien la imagen!
Solo juega y gana!

Yo quiero jugarrr!!!!

El video de p0is0n-123 está bueno, de hecho el formulario via mail es una de las tres posibilidades para enviar la petición evitando el referer actualizando el perfil, como ya han descubierto smf no checkea que el referer sea válido siempre sino que solo cuando lo hay, o sea que si enviamos un formulario sin referer se ejecuta el csrf, asi que no es necesario que el formulario sea enviado directamente desde el foro.

Asi que teniendo el token de seguridad y evitando el referer deberian ser capaces de ejecutar el csrf.

El problema del video es que nadie te va a descargar un html para abrir un enlace, eso es un fail xD, estubiste 99% cerca de lograrlo pero no debes permitir que se descargue el archivo, vee una solución mas normal, prueba con otros clientes de correos, vee outllook, gmail, hotmail, yahoo, no se, alguno que no te pida descargar algo para que te lleve al enlace ya que o si no tendrias que recurrir a la ingeniería social y ya no sería csrf puro.

Jugando con h3ct0r...

[se puede de tres formas]

Voy a llamar a esos tipos que bailan samba para callarles la boca  

Ellos encontraron un misero bug en un sistema de encuestas que era mas vulnerable que una casa sin puertas, si hablamos de conocimientos ellos no hicieron gran cosa. De hecho este CSRF tiene mas siencia que el bug que ellos habian encontrado.

Hechen a cocinar esas neuronas, yo acabo de probar el bug y si funciona, solo que no es tan común como ustedes piensan, deben hechar a volar sus imaginaciones y pensar que hacer, no se queden con lo aprendido, traten de buscar nuevas maneras.

Una ves obtenido el token hay una forma de bypasear el referer sin tener que encontrar ningún otro tipo de bug en el foro. de hecho se puede de tres formas xD

Esto parece que tiene para rato

En fin, si alguien logra hackear el foro nos avisan por favor, mientras tanto estaremos tomando una tacita de te en la casa de el-brujo con algunas pizzas de champiñones y tocino frito mientras vemos el log de accesos.

Aun así esos sc no te servirán de mucho

Yo diria lo contrario Yoya es el que mas se ha acercado.