Моё меню Общее меню Пользователи Правила форума Все прочитано
Вернуться   uForum.uz > ИКТ и телеком > IT-индустрия > UZINFOCOM
Знаете ли Вы, что ...
...нарушения правил форума наказываются. Старайтесь их не нарушать.
<< Предыдущий совет - Случайный совет - Следующий совет >>

UZINFOCOM Центр развития и внедрения компьютерных и информационных технологий (uzinfocom.uz, twitter). Другие официальные разделы: Портал GOV.UZ, Домены UZ, UZ-CERT, ZiyoNET, WWW.UZ, ID.UZ


Ответить

 
Опции темы Опции просмотра
Старый 18.05.2013 20:09   #171  
Аватар для akai
Оффлайн
Сообщений: 356
+ 783  166/104
– 47  37/30

Uzbekistan
Страница смены пароля никак не защищена от CSRF.
Нет текущего пароля, нет капчи, нет одноразового токена. По сути кликнул на левой странице и отдал доступ к ящику.

Удаление ящика вообще GET-запрос /ru/user/delete
Для понимания: если к примеру в этой теме запостить картинку с src=http://umail.uz/ru/user/delete, то все просмотревшие удалят свои ящики.
__________________
Имхо по умолчанию.
Ответить 
Старый 18.05.2013 20:29   #172  
Known ID Group uParty Member Ultimate
Аватар для JH
Оффлайн
Сообщений: 10,921
+ 3,666  10,931/4,676
– 584  286/214

Uzbekistan
Цитата:
Сообщение от akai Посмотреть сообщение
Удаление ящика вообще GET-запрос /ru/user/delete
Для понимания: если к примеру в этой теме запостить картинку с src=http://umail.uz/ru/user/delete, то все просмотревшие удалят свои ящики.
Неужели это может быть правдой? И никаких подтверждений не запросит? Проверять не хочу, но сама перспектива пугает.
Ответить 
"+" от:
Старый 18.05.2013 20:44   #173  
Аватар для akai
Оффлайн
Сообщений: 356
+ 783  166/104
– 47  37/30

Uzbekistan
Цитата:
Сообщение от JH Посмотреть сообщение
И никаких подтверждений не запросит?
Я не вижу никаких проверок, кроме Javascript на клиентской стороне.
__________________
Имхо по умолчанию.

Последний раз редактировалось akai; 18.05.2013 в 20:48.
Ответить 
Старый 18.05.2013 20:55   #174  
Known ID Group uParty Member Ultimate
Аватар для JH
Оффлайн
Сообщений: 10,921
+ 3,666  10,931/4,676
– 584  286/214

Uzbekistan
Цитата:
Сообщение от akai Посмотреть сообщение
Цитата:
Сообщение от JH Посмотреть сообщение
И никаких подтверждений не запросит?
Я не вижу никаких проверок, кроме Javascript на клиентской стороне.
Ну да, оно спрашивает, хотите ли вы удалить ящик. Но если в адресную строку вбить приведенный вами адрес или подгрузить его как картинку - удалит без подтверждений?
Ответить 
Старый 18.05.2013 20:56   #175  
Аватар для Timurline
Оффлайн
Филиал "BKM" АК "Узбектелеком"
Сообщений: 341
+ 43  116/77
– 8  2/1

UzbekistanОтправить сообщение для Timurline с помощью ICQ
Цитата:
Сообщение от JH Посмотреть сообщение
Неужели это может быть правдой? И никаких подтверждений не запросит? Проверять не хочу, но сама перспектива пугает.
Правда. Ящик автоматически без всяких запрсоов подтверждения удаляется.
Ответить 
Реклама и уведомления
Старый 18.05.2013 20:59   #176  
Known ID Group uParty Member Ultimate
Аватар для JH
Оффлайн
Сообщений: 10,921
+ 3,666  10,931/4,676
– 584  286/214

Uzbekistan
Цитата:
Сообщение от Timurline Посмотреть сообщение
Цитата:
Сообщение от JH Посмотреть сообщение
Неужели это может быть правдой? И никаких подтверждений не запросит? Проверять не хочу, но сама перспектива пугает.
Правда. Ящик автоматически без всяких запрсоов подтверждения удаляется.
Ответить 
Старый 18.05.2013 21:10   #177  
Real ID Group Ultimate uParty Member Fujitsu
Аватар для Efim Kushnir
Оффлайн
Fujitsu
Sales Support Manager
Сообщений: 12,659
+ 7,822  10,179/4,434
– 61  36/35

UzbekistanОтправить сообщение для Efim Kushnir с помощью Skype™
Проэкспериментировал

Почтовый ящик создавал несколько дней назад и даже с него тестовые письма посылал
__________________
Я другой такой страны не знаю, где ... (с) Узбекистон - келажаги буюк давлат (с)
Ответить 
Старый 18.05.2013 21:15   #178  
Known ID Group uParty Member Ultimate
Аватар для JH
Оффлайн
Сообщений: 10,921
+ 3,666  10,931/4,676
– 584  286/214

Uzbekistan
Цитата:
Сообщение от Efim Kushnir Посмотреть сообщение
Проэкспериментировал

Почтовый ящик создавал несколько дней назад и даже с него тестовые письма посылал
А зачем ты user в ссылке поменял на kushnir? Попробуй с user
Ответить 
Старый 18.05.2013 21:17   #179  
Real ID Group Ultimate uParty Member Fujitsu
Аватар для Efim Kushnir
Оффлайн
Fujitsu
Sales Support Manager
Сообщений: 12,659
+ 7,822  10,179/4,434
– 61  36/35

UzbekistanОтправить сообщение для Efim Kushnir с помощью Skype™
Цитата:
Сообщение от JH Посмотреть сообщение
Цитата:
Сообщение от Efim Kushnir Посмотреть сообщение
Проэкспериментировал

Почтовый ящик создавал несколько дней назад и даже с него тестовые письма посылал
А зачем ты user в ссылке поменял на kushnir? Попробуй с user
А я сначала с user и запустил, а потом как-то неловко стало...
__________________
Я другой такой страны не знаю, где ... (с) Узбекистон - келажаги буюк давлат (с)
Ответить 
Старый 18.05.2013 21:18   #180  
Known ID Group uParty Member Ultimate
Аватар для JH
Оффлайн
Сообщений: 10,921
+ 3,666  10,931/4,676
– 584  286/214

Uzbekistan
Цитата:
Сообщение от Efim Kushnir Посмотреть сообщение
Проэкспериментировал

Почтовый ящик создавал несколько дней назад и даже с него тестовые письма посылал
Судя по скриншоту, у тебя почтового ящика нет? Он, значит, в первый же раз удалился, когда с user пробовал.
Ответить 
Ответить

Метки
umail.uz
Опции темы
Опции просмотра




Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2022, Jelsoft Enterprises Ltd. Перевод: zCarot
Advertisement System V2.5 By Branden
OOO «Единый интегратор UZINFOCOM»


Новые 24 часа Кто на форуме Новички Поиск Кабинет Все прочитано Вверх