|
|
Знаете ли Вы, что ... | |
...до того как открыть новую тему, стоит использовать поиск: такая тема уже может существовать. | |
<< Предыдущий совет - Случайный совет - Следующий совет >> |
UZINFOCOM Центр развития и внедрения компьютерных и информационных технологий (uzinfocom.uz, twitter). Другие официальные разделы: Портал GOV.UZ, Домены UZ, UZ-CERT, ZiyoNET, WWW.UZ, ID.UZ |
Ответить |
|
Опции темы | Опции просмотра |
18.05.2013 20:09 | #171 |
Сообщений: 356
+ 783
166/104
– 47
37/30
|
Страница смены пароля никак не защищена от CSRF.
Нет текущего пароля, нет капчи, нет одноразового токена. По сути кликнул на левой странице и отдал доступ к ящику. Удаление ящика вообще GET-запрос /ru/user/delete Для понимания: если к примеру в этой теме запостить картинку с src=http://umail.uz/ru/user/delete, то все просмотревшие удалят свои ящики.
__________________
Имхо по умолчанию. |
|
Ответить |
3 "+" от:
|
|