Дырка в движке лора

0

0

Любой сайт, который вы посещаете, может с помощью вашего браузера запостить сообщение от вашего имени сообщение на лоре или произвести любую другую активность.

Проверка

Результат

Решение:

1) не допускать никакие изменения иначе как через POST;

2) при POST передавать ID сессии как скрытое поле и проверять его (даже для анонимных пользователей) либо проверять соответствие Referrer (но лучше все-таки скрытое поле, так как домены могут быть разные).

Ссылка

←	2dragon_djanic

IBM developerWorks

→

← 1 2 3 →

Воооо как разоблачили вас тузиков =)))

~~qsloqs~~ ★★
(26.04.07 23:50:36 MSD)

Ссылка

я понял! тузик - это коллективное бессознательное :)

geek ★★★
(26.04.07 23:55:35 MSD)

Ссылка

я - тузик

честное слово

anonizmus ★
(27.04.07 00:01:17 MSD)

Ссылка

я - тузик

честное слово

Payalnic ★★
(27.04.07 00:25:00 MSD)

Ссылка

Эх,только хотел обрадоваться,что не сработало,да не тут то было...:(

TheFallenAngel ★★
(27.04.07 00:37:50 MSD)

Ссылка

Так, господа флудеры и проверяльщики, завязываем, пока не начались массовые обрезания.

grob ★★★★★
(27.04.07 01:06:01 MSD)

Ответ на: комментарий от grob 27.04.07 01:06:01 MSD

>Так, господа флудеры и проверяльщики, завязываем,

А всё, уже никто не флудит и не проверяет=)

schumen ★★
(27.04.07 01:14:12 MSD)

Ссылка

А для анонимусов работает?

anonymous
(27.04.07 01:17:58 MSD)

Ссылка

Ответ на: комментарий от grob 27.04.07 01:06:01 MSD

Люди просто тыкают по ссылке. Не надо им ничего за это обрезать IMHO. Средняя ссылка на ЛОРе примерно столько и собирает (проверено несколько раз).

Teak ★★★★★
(27.04.07 01:18:56 MSD)

Ответ на: комментарий от sdio 26.04.07 17:34:36 MSD

ХТО ЗДЕСЬ? о_0

/me уху ел

anonymous
(27.04.07 01:24:20 MSD)

Ссылка

Ответ на: комментарий от Teak 27.04.07 01:18:56 MSD

А некоторые тыкают по три раза.

grob ★★★★★
(27.04.07 02:24:03 MSD)

я - тузик

честное слово

Bazarov ★
(27.04.07 04:01:09 MSD)

Ссылка

я - тузик

честное слово

ref ★
(27.04.07 04:49:50 MSD)

я - тузик

честное слово

r_asian ★☆☆
(27.04.07 07:41:52 MSD)

Ссылка

я - тузик

честное слово

ref ★
(27.04.07 07:42:26 MSD)

Ссылка

Ответ на: я - тузик от ref 27.04.07 04:49:50 MSD

хех! работает =)

ref ★
(27.04.07 07:44:02 MSD)

Ссылка

я - тузик

честное слово

SANTA_CLAUS ★★
(27.04.07 08:49:20 MSD)

Ссылка

Ответ на: комментарий от grob 27.04.07 02:24:03 MSD

> А некоторые тыкают по три раза.

Так если не сразу врубился, а вроде ничего и не произошло... :)

sin_a ★★★★★
(27.04.07 09:12:37 MSD)

Ссылка

Ответ на: комментарий от Ygor 26.04.07 09:43:02 MSD

>Скажите оно только у меня не работает?

Нет не только у тебя :(

Doom3r ★
(27.04.07 09:14:52 MSD)

Ссылка

Это сайт посвещенный Open Source...
Поэтому скрипт в студию!!!!!!!!!!

Doom3r ★
(27.04.07 09:17:35 MSD)

Ответ на: комментарий от Doom3r 27.04.07 09:17:35 MSD

о темнота

Pi ★★★★★
(27.04.07 09:23:55 MSD)

Ссылка

Ответ на: комментарий от true 26.04.07 14:11:40 MSD

> Это ровным счетом ни от чего не спасет. Ну, ник я допустим не узнаю, но я могу нацелить на одного пользователя (например, только на maxcom). POST ведь я могу сделать с любого сайта, и при этом POSTе будут использованы куки, хранящиеся в браузере.

ну если ты используешь бродилку макскома, то конечно, не поможет :)

Иначе, где ты его куки возьмёшь?

anonymous
(27.04.07 09:55:31 MSD)