uForum.uz
Страница 18 из 81 « Первая 891011121314151617 18 1920212223242526272868 Последняя »
Показывать 40 сообщений этой темы на одной странице

uForum.uz (https://uforum.uz/index.php)
-   UZINFOCOM (https://uforum.uz/forumdisplay.php?f=118)
-   -   [Новости] Почтовая служба uMail.uz (https://uforum.uz/showthread.php?t=19233)

akai 18.05.2013 20:09
Страница смены пароля никак не защищена от CSRF.
Нет текущего пароля, нет капчи, нет одноразового токена. По сути кликнул на левой странице и отдал доступ к ящику.

Удаление ящика вообще GET-запрос /ru/user/delete
Для понимания: если к примеру в этой теме запостить картинку с src=http://umail.uz/ru/user/delete, то все просмотревшие удалят свои ящики.

JH 18.05.2013 20:29
Цитата:
Сообщение от akai (Сообщение 895811)
Удаление ящика вообще GET-запрос /ru/user/delete
Для понимания: если к примеру в этой теме запостить картинку с src=http://umail.uz/ru/user/delete, то все просмотревшие удалят свои ящики.
Неужели это может быть правдой? И никаких подтверждений не запросит? Проверять не хочу, но сама перспектива пугает.

akai 18.05.2013 20:44
Цитата:
Сообщение от JH (Сообщение 895816)
И никаких подтверждений не запросит?
Я не вижу никаких проверок, кроме Javascript на клиентской стороне.

JH 18.05.2013 20:55
Цитата:
Сообщение от akai (Сообщение 895821)
Цитата:
Сообщение от JH (Сообщение 895816)
И никаких подтверждений не запросит?
Я не вижу никаких проверок, кроме Javascript на клиентской стороне.
Ну да, оно спрашивает, хотите ли вы удалить ящик. Но если в адресную строку вбить приведенный вами адрес или подгрузить его как картинку - удалит без подтверждений?

Timurline 18.05.2013 20:56
Цитата:
Сообщение от JH (Сообщение 895816)
Неужели это может быть правдой? И никаких подтверждений не запросит? Проверять не хочу, но сама перспектива пугает.
Правда. Ящик автоматически без всяких запрсоов подтверждения удаляется.

JH 18.05.2013 20:59
Цитата:
Сообщение от Timurline (Сообщение 895826)
Цитата:
Сообщение от JH (Сообщение 895816)
Неужели это может быть правдой? И никаких подтверждений не запросит? Проверять не хочу, но сама перспектива пугает.
Правда. Ящик автоматически без всяких запрсоов подтверждения удаляется.
https://img.uforum.uz/images/zotbtvv2494892.jpg

Efim Kushnir 18.05.2013 21:10
Проэкспериментировал :)
https://img.uforum.uz/thumbs/acwprqz39271.png
Почтовый ящик создавал несколько дней назад и даже с него тестовые письма посылал :)

JH 18.05.2013 21:15
Цитата:
Сообщение от Efim Kushnir (Сообщение 895833)
Проэкспериментировал :)
https://img.uforum.uz/thumbs/acwprqz39271.png
Почтовый ящик создавал несколько дней назад и даже с него тестовые письма посылал :)
А зачем ты user в ссылке поменял на kushnir? Попробуй с user

Efim Kushnir 18.05.2013 21:17
Цитата:
Сообщение от JH (Сообщение 895838)
Цитата:
Сообщение от Efim Kushnir (Сообщение 895833)
Проэкспериментировал :)
https://img.uforum.uz/thumbs/acwprqz39271.png
Почтовый ящик создавал несколько дней назад и даже с него тестовые письма посылал :)
А зачем ты user в ссылке поменял на kushnir? Попробуй с user
А я сначала с user и запустил, а потом как-то неловко стало...

JH 18.05.2013 21:18
Цитата:
Сообщение от Efim Kushnir (Сообщение 895833)
Проэкспериментировал :)
https://img.uforum.uz/thumbs/acwprqz39271.png
Почтовый ящик создавал несколько дней назад и даже с него тестовые письма посылал :)
Судя по скриншоту, у тебя почтового ящика нет? Он, значит, в первый же раз удалился, когда с user пробовал.


Текущее время: 22:53. Часовой пояс GMT +5.
Страница 18 из 81 « Первая 891011121314151617 18 1920212223242526272868 Последняя »
Показывать 40 сообщений этой темы на одной странице

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. Перевод: zCarot
OOO «Единый интегратор UZINFOCOM»