Форум по программам и оборудованию > > >

Недействительный CSRF токен. Отправите форму ещё раз. If you did not send this request from Adminer then close this page.

18.11.2017 17:12


[ОТВЕТИТЬ]
Опции темы
29.11.2015 16:25
 
Сижу себе, никому не мешаю, сливаю сайты :)
и тут попадается мне сайт, который не имеет пароля к БД
я думаю ну и дурень, попадаю в phpmyadmin, и при любой попытке изменить/добавить и так далее ответ
Недействительный CSRF токен. Отправите форму ещё раз. If you did not send this request from Adminer then close this page.
Тут возникает вопрос, сайт то каким то образом информацию в БД вносит, почему я не могу ?
И захотел себе такую же штуку на сайт.
Кто сталкивался ? кто реализовывал ?
Обойти это я так понимаю не возможно ? если да то я еще больше себе такое чудо хочу.
29.11.2015 17:16
 
Какая-то хитрая вещь, почитал: Токен нужен только для операций авторизованных пользователей, и должен привязываться к учетке. Придется сначала зайти под юзером чтобы получить ключ валидный для него
Логично, но я же под пользователем в БД зашел то
что не так
29.11.2015 19:18
 
Фигня какая-то, скорее всего... Либо phpmyadmin криво установлен, либо что-то в этом же роде. Если БД открыта, то при чем тут phpmyadmin?
30.11.2015 00:05
 
это специальный phpmyadmin для сливальщиков )))
30.11.2015 03:39
 
да, это не phpmyadmin в привычном понимании, но с аналогичными функциями.
Вот и я думаю что фигня, только открыть могу редактировать не могу ( / слить в том числе
30.11.2015 07:37
 
"Я куда-то залез, что-то запустил и у меня теперь ошибка", как тебе что-то ответить? :)
30.11.2015 12:35
 
да не не так
я конкретно залез на сайт
уже слил его бд
слил все файлы
но меня удивило то что при прямом доступе к базе возникает проблема
Недействительный CSRF токен. Отправите форму ещё раз. If you did not send this request from Adminer then close this page.
кстати штука действенная, обойти помогла только тупость админа который сделал бек БД, так бы не слил,
вот и себе такое хочется
а не как слить (слив уже сделан)
30.11.2015 13:28
 
Подумалось тут, что сия дыра пробита для того чтобы пользователи получающие некие уведомления в каком то внутреннем софте, могли по ссылке ткнув пойти в базу в уже авторизованном виде...
30.11.2015 17:16
 
Я понял ситуацию немного по другому, что aldemko уже у себя пытается воспользоваться админкой, а, поскольку она настроена на другой домен, ее и плющит... Так и спалиться недолго...
02.12.2015 02:59
 
Нет, доступ к админке есть (хожу через платные прокси)
операции с файлами могу производить произвольные, базу читать могу, а вот править нет.
База как такова мне не интересна, я ее получил другим способом, интересен сам факт такой защиты, получается знаешь все данные, читать можешь а править нет, вот это интересно, хотя если бы еще и читать не могу - при этом зная пароли, было бы вообще чудесно


Опции темы



Часовой пояс GMT +3, время: 17:12.

Все в прочитанное - Донат - RSS - - Карта - Вверх

Форум сделан на основе vBulletin®
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.