Pull to refresh

Comments 19

UFO landed and left these words here
Только вот потом можно зайти на сайт под своим же фейсбуком доступ к которому есть у нас и от которого была произведена перевязка аккаунта.
Мы встроили тебе аккаунт в аккаунт, что бы ты мог взламывать аккаунты в аккаунте.
Эта фраза мне явно кого-то напоминает…
image
Для тех, кто минусует, не понимая о чем речь: «Мы встроили тебе <объект> в <объект>, чтобы ты мог <действие> <объект> в <объект>» — это коронная фраза xzibit-a из «Тачка на прокачку»

Для тех, кто реально в танке, есть +100500 мемов на эту тему в сети




Источник: pikabu.ru/tag/Xzibit/hot
Осмелюсь обьяснить, что xzibit и так подразумевался в изначальной фразе. В случае Вашего комментария, вы просто огласили то, что уже всем понятно.
Ваш КО
Забавная идея. Хостинг-то абузоустойчивый? А то сейчас моралфаги набегут :-)
обычный хероку. А в чем моралфаги то Оо. ФБ отказался исправлять, я сделал инструмент, все довольны.
Так готовая тулза для угона это уже нифига не PoC же. 10 лет назад когда я аналогичную тулзу для xss разместил — заабузили. То правда было на территории РФ.
Не совсем готовая, допилить UI надо немного. Но не поможешь блекхатам сам, никто не поможет.
Егор, прекрати ломать интернет!
Нет, ну серьёзно, что не уязвимость, так что-то глобальное. А разработчикам потом головная боль всё это закрывать. Пожалей людей!
Дык нефиг было в WontFix посылать. ССЗБ.
А https спасет? А мыть руки перед едой спасет? )
Для Firefox этого не нужно — он не отсылает Origin вообще для обычных form-based запросов.


А что говорит спецификация? Кто прав, а кто не прав? Нужно ли отправлять Origin для обычного GET запроса?
Насколько я помню, Origin это часть спеки на CORS, а она ради совместимости с существующими решениями требует отправки Origin только для нетипичных запросов (через XHR, с кастомными заголовками, etc.), поэтому для обычных GET через a href/img src и POST через form Origin и прочие CORS-специфичные запросы и заголовки не требуются. Безусловно, не требуется — не значит, что они запрещены. Так что, думаю, оба правы.
«Теперь когда наш фейсбук подключен к аккаунту жертвы мы можем напрямую зайти в аккаунт жертвы»

C какого перепугу то что ты перелогинил чей то браузер под другой логин привязывает этот логин на других сайтах?
Only those users with full accounts are able to leave comments. Log in, please.