Нашел не хороший баг...

OFFTOP

Почитал это все и такой думаю: "ееее, теперь я точно хацкер!!!!", но потом почитал это

fortfox, не сработает. Кросс-доменные запросы нужно включить специально, по умолчанию можно обращаться только с текущего домена. Нужно специально сделать дыру чтобы это сработало.
fortfox, это сработает только при отсутствии проверки на AntiCSRF токен (а такое может быть только в кривых плагинах)
И понял, что я нифига не хацкер)))

 
mizaider, та я понял что нет дыры, я имел ввиду автоматического отправка запроса когда админ перейдёт по ссылке.
Запрос отправится, а толку? Админу вылезет подтверждение "Действительно вы хотите удалить эту тему? Да\Нет", так как в запросе не будет csrf токена, который снаружи не достать

UPD: Оказывается даже просто вылезет сообщение "идите нахер, ибо токена нет"2018-07-13_23-41-30.png
 
Последнее редактирование:
Блин. Да вы поймите, ничего не отправится, в консоль браузера упадет ошибка и все....
 
  • Мне нравится
Реакции: Hope
Блин. Да вы поймите, ничего не отправится, в консоль браузера упадет ошибка и все....
Упадёт. Но я чисто про приведенный ТС'ом код. Он работает тупо в лоб и отправляет форму
 
mizaider, Философски говоря, может это и будет желаемым результатом.
С другой стороны, ТС попытался что-то найти. Пусть и не вышло, но стремление надо поощрять - вдруг вырастет мощным пентестером?
 
_Werewolf_, дак все с чего то начинали, просто кричать на всю ивановскую "я нашел дыру" без углубления в матчасть моветон. Ну а если представить что реально дыру нашел, и сообщил не разрабам движка, а просто выкинул инфу в свободное плавание, этож жесть. Так пентестеры не делают. Белые по крайней мере)
 
Современный облачный хостинг провайдер | Aéza
Назад
Сверху Снизу