Старый 18.07.2012, 22:55   #11
total90
 
Регистрация: 05.07.2010
Сообщений: 5
Репутация: 1
По умолчанию

Цитата:
Сообщение от Qwazar Посмотреть сообщение
Ничего не путаем? В общем случае фрейм вообще не нужен, достаточно простого GET/POST/... без обработки браузером.
Цитата:
Я создам некий скрипт, который будет содержать левый контент, и фрейм.
Я рассматривал именно случай ТС'а

Последний раз редактировалось total90; 18.07.2012 в 23:30.. Причина: очепятка
total90 вне форума   Ответить с цитированием
Старый 19.07.2012, 00:02   #12
Spyder
 
Аватар для Spyder
 
Регистрация: 01.07.2010
Сообщений: 95
Репутация: 41
По умолчанию

в случае ТС'а фрейм не нужен, <img src=''> достаточно
__________________
wut?
Spyder вне форума   Ответить с цитированием
Старый 20.07.2012, 00:29   #13
Pirotexnik
 
Аватар для Pirotexnik
 
Регистрация: 16.05.2012
Сообщений: 32
Репутация: -2
По умолчанию

Всем спасибо огромное! Получило реализовать нечто подобное на локалхосте
Нащет фреймов - это 1 из вариаций. Как сказал Qwazar - обычного запроса будет достаточно. Главное знать архитектуру атакуемого приложения. Кстате, реферер можно пожменить, если я правильно понял.
__________________
h4q 4ll w0rld
Pirotexnik вне форума   Ответить с цитированием
Старый 20.07.2012, 09:08   #14
Demon1X
 
Аватар для Demon1X
 
Регистрация: 10.07.2010
Сообщений: 56
Репутация: 5
По умолчанию

Цитата:
Сообщение от Qwazar Посмотреть сообщение
Да ладно, пусть учатся, тем про CSRF на форуме вроде бы и нет
Есть одна https://rdot.org/forum/showthread.ph...highlight=CSRF
Demon1X вне форума   Ответить с цитированием
Старый 22.07.2012, 14:39   #15
mironich
 
Регистрация: 21.12.2011
Сообщений: 7
Репутация: 0
По умолчанию

Цитата:
реферер можно пожменить, если я правильно понял.
Реферер это то что формируется на стороне броузера, это не как не удасться подменить на нужный.
mironich вне форума   Ответить с цитированием
Старый 22.07.2012, 17:43   #16
k.v
Banned
 
Регистрация: 11.01.2012
Сообщений: 19
Репутация: 4
По умолчанию

Цитата:
Сообщение от mironich Посмотреть сообщение
Реферер это то что формируется на стороне броузера, это не как не удасться подменить на нужный.
Могут быть варианты. Если на сайте есть открытый редирект, то им можно получить нужный referer для GET-запроса. Если защита от CSRF на базе referer нормально обрабатывает ситуацию его отсутствия (referer часто режут на проксях или расширениями браузеров, типа privacy), то на стороне браузера можно дернуть и GET и POST без этого заголовка: http://blog.kotowicz.net/2011/10/stripping-referrer-for-fun-and-profit.html
k.v вне форума   Ответить с цитированием
Старый 22.07.2012, 19:44   #17
Beched
 
Регистрация: 06.07.2010
Сообщений: 400
Репутация: 118
По умолчанию

угу, + про флеш не забываем и cross-domain policy
Beched вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot