CSRF и NO Script (firefox)

Discussion in 'Уязвимости' started by Грабитель, 14 Apr 2013.

  1. Грабитель

    Joined:
    5 Mar 2013
    Messages:
    198
    Likes Received:
    12
    Reputations:
    -7
    Не знаю, было ли обсуждение подобной темы или нет.
    Есть CSRF дырка на сайте, но проблема в том, что для её реализации необходимо передавать данные POST запросом.
    Была бы CSRF через GET запрос, он бы во фрейме прошёл мимо печально известной примочки файрфокса "NO Script", но по скольку имеем дело с POST запросами... возможно есть способы отправить POST запрос средствами HTML, чтобы обойти NO Script.
    Я юзаю конструкцию:
    Code:
    <body onload="csrf.submit()">
    <form action="http://site.com/" method="post" id="csrf">
    <input type=text name="vuln" value="evil_code">
    Она палится, возможно ли что то сделать, чтобы обойти злостный плагин файрфокса?
     
Loading...