Форум по программному обеспечению и оборудованию > > >

Недействительный CSRF токен. Отправите форму ещё раз. If you did not send this request from Adminer then close this page.

08.12.2016 1:13


[ОТВЕТИТЬ]
Опции темы
29.11.2015 16:25  
aldemko
Сижу себе, никому не мешаю, сливаю сайты :)
и тут попадается мне сайт, который не имеет пароля к БД
я думаю ну и дурень, попадаю в phpmyadmin, и при любой попытке изменить/добавить и так далее ответ
Недействительный CSRF токен. Отправите форму ещё раз. If you did not send this request from Adminer then close this page.
Тут возникает вопрос, сайт то каким то образом информацию в БД вносит, почему я не могу ?
И захотел себе такую же штуку на сайт.
Кто сталкивался ? кто реализовывал ?
Обойти это я так понимаю не возможно ? если да то я еще больше себе такое чудо хочу.
 
29.11.2015 17:16  
aldemko
Какая-то хитрая вещь, почитал: Токен нужен только для операций авторизованных пользователей, и должен привязываться к учетке. Придется сначала зайти под юзером чтобы получить ключ валидный для него
Логично, но я же под пользователем в БД зашел то
что не так
 
29.11.2015 19:18  
OlegON
Фигня какая-то, скорее всего... Либо phpmyadmin криво установлен, либо что-то в этом же роде. Если БД открыта, то при чем тут phpmyadmin?
 
30.11.2015 00:05  
Micle
это специальный phpmyadmin для сливальщиков )))
 
30.11.2015 03:39  
aldemko
да, это не phpmyadmin в привычном понимании, но с аналогичными функциями.
Вот и я думаю что фигня, только открыть могу редактировать не могу ( / слить в том числе
 
30.11.2015 07:37  
OlegON
"Я куда-то залез, что-то запустил и у меня теперь ошибка", как тебе что-то ответить? :)
 
30.11.2015 12:35  
aldemko
да не не так
я конкретно залез на сайт
уже слил его бд
слил все файлы
но меня удивило то что при прямом доступе к базе возникает проблема
Недействительный CSRF токен. Отправите форму ещё раз. If you did not send this request from Adminer then close this page.
кстати штука действенная, обойти помогла только тупость админа который сделал бек БД, так бы не слил,
вот и себе такое хочется
а не как слить (слив уже сделан)
 
30.11.2015 13:28  
Micle
Подумалось тут, что сия дыра пробита для того чтобы пользователи получающие некие уведомления в каком то внутреннем софте, могли по ссылке ткнув пойти в базу в уже авторизованном виде...
 
30.11.2015 17:16  
OlegON
Я понял ситуацию немного по другому, что aldemko уже у себя пытается воспользоваться админкой, а, поскольку она настроена на другой домен, ее и плющит... Так и спалиться недолго...
 
02.12.2015 02:59  
aldemko
Нет, доступ к админке есть (хожу через платные прокси)
операции с файлами могу производить произвольные, базу читать могу, а вот править нет.
База как такова мне не интересна, я ее получил другим способом, интересен сам факт такой защиты, получается знаешь все данные, читать можешь а править нет, вот это интересно, хотя если бы еще и читать не могу - при этом зная пароли, было бы вообще чудесно
 
 


Опции темы



Часовой пояс GMT +3, время: 01:13.

Все в прочитанное - Календарь - RSS - - Карта - Вверх 👫 Яндекс.Метрика
Форум сделан на основе vBulletin®
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.