Mail.ru: CSRF. Удаление адресной книги, добавление контактов

2017-05-28T15:37:54
ID H1:232653
Type hackerone
Reporter napalube
Modified 2017-12-29T10:59:35

Description

Привет! Мною был обнаружен старый интерфейс управления контактами в почте: https://e.mail.ru/cgi-bin/new_absetup Не весь функционал там рабочий, но пару CSRF удалось найти: https://e.mail.ru/cgi-bin/new_absetup?remove&confirm=1 - запрос полностью стирает адресную книгу https://e.mail.ru/cgi-bin/new_editgroup?addgroup&group_name=test - запрос создает контакт с псевдонимом test https://e.mail.ru/cgi-bin/abaddfrommail?ids=1&Name_1=test&Email_1=test@mail.ru&Name1_1=test&Name2_1=test - запрос создает контакт с именем, фамилией и псевдонимом test.

Стоит потереть следы старой версии и избавиться от CSRF