Хабрахабр: Коллективные / Блоги / Захабренные Голосов: 10 Адрес блога: http://habrahabr.ru/blog/ Добавлен: 2007-10-24 18:05:40 блограйдером Robin_Bad

Facebook / Cross-Site Content Forgery в Facebook

2011-10-09 12:46:06 (читать в оригинале)

Некие ребята нашли в Facebook интересную особенность. Когда пользователи добавляют на свою стену ссылку на фото, Facebook на фоне подтягивает это фото и добавляет уменьшенную копию рядом с постом. Но при этом они а) используют определенный User-Agent, и б) определенный домен, с которого идет запрос. Если использовать эту информацию, то можно выдать этому роботу JPEG, а всем остальным выдавать Location: www.domain.com/my_awful_script.php с любым функционалом. Google+, кстати, делает то же самое.