Pessoal alguns crackers e hackers divulgaram este mês ou mês passado (não sei direito) o CSRF.
É muito fácil se prevenir deste script. Existem 2 métodos que são bastantes simples.
Agora eu irei explicar como é usado o CSRF em HP's, eles simplesmente pegam o endereço de seu housekeeping e colocam em um arquivo que os crackers divulgaram. Depois disto eles hospedam o arquivo em qualquer hospedagem gratuita e colocam o link do arquivo como iframe no título do quarto.
Ai um staff entra no quarto e ele ganha rank 7.
Agora vou dizer os métodos como se prevenir:
1º Método-
Vamos analisar o script CSRF:
<script>
function envio_csrf()
{
document.csrf1.submit()
}
</script>
<form action="http://sitevitima.com/housekeeping/functions/update_user.php" method=post name="csrf1">
<input type="hidden" name="username" value="Inmortalhs">
<input type="hidden" name="real_name" value="">
<input type="hidden" name="mail" value="inmortal@hotmail.com">
<input type="hidden" name="motto" value="Holoscripter">
<input type="hidden" name="rank" value="7">
<input type="hidden" name="credits" value="60000">
<input type="hidden" name="activity_points" value="140">
<input type="hidden" name="vip" value="0">
<input type="hidden" name="id" value="5563">
<input type="hidden" name="oldusername" value="InmortalHS">
<body onload="envio_csrf()">
Eu marquei no script o diretório, este primeiro método para se prevenir é muito simples basta você trocar o endereço de seu housekeeping por que o cara irá usar este script e dará fail pois o script não irá achar a pasta housekeeping.
2º Método-
O segundo método também é bastante simples, basta você colocar isto no seu global.php
function MatarCSRF()
{
// somente temporario.
$links_validos = array("seusite.com", "www.seusite.com");
$site_http = explode('/', substr($_SERVER['HTTP_REFERER'], 7));
if($_POST || $_GET)
{
if(!in_array($site_http[0], $links_validos))
{
die();
}
}
}
E no final da global.php coloque isto:
MatarCSRF();
Créditos:
Lucasan & Breakz
É muito fácil se prevenir deste script. Existem 2 métodos que são bastantes simples.
Agora eu irei explicar como é usado o CSRF em HP's, eles simplesmente pegam o endereço de seu housekeeping e colocam em um arquivo que os crackers divulgaram. Depois disto eles hospedam o arquivo em qualquer hospedagem gratuita e colocam o link do arquivo como iframe no título do quarto.
Ai um staff entra no quarto e ele ganha rank 7.
Agora vou dizer os métodos como se prevenir:
1º Método-
Vamos analisar o script CSRF:
<script>
function envio_csrf()
{
document.csrf1.submit()
}
</script>
<form action="http://sitevitima.com/housekeeping/functions/update_user.php" method=post name="csrf1">
<input type="hidden" name="username" value="Inmortalhs">
<input type="hidden" name="real_name" value="">
<input type="hidden" name="mail" value="inmortal@hotmail.com">
<input type="hidden" name="motto" value="Holoscripter">
<input type="hidden" name="rank" value="7">
<input type="hidden" name="credits" value="60000">
<input type="hidden" name="activity_points" value="140">
<input type="hidden" name="vip" value="0">
<input type="hidden" name="id" value="5563">
<input type="hidden" name="oldusername" value="InmortalHS">
<body onload="envio_csrf()">
Eu marquei no script o diretório, este primeiro método para se prevenir é muito simples basta você trocar o endereço de seu housekeeping por que o cara irá usar este script e dará fail pois o script não irá achar a pasta housekeeping.
2º Método-
O segundo método também é bastante simples, basta você colocar isto no seu global.php
function MatarCSRF()
{
// somente temporario.
$links_validos = array("seusite.com", "www.seusite.com");
$site_http = explode('/', substr($_SERVER['HTTP_REFERER'], 7));
if($_POST || $_GET)
{
if(!in_array($site_http[0], $links_validos))
{
die();
}
}
}
E no final da global.php coloque isto:
MatarCSRF();
Créditos:
Lucasan & Breakz