<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sun, Oct 12, 2014 at 12:17 AM, Danny Yoo <span dir="ltr"><<a href="mailto:dyoo@hashcollision.org" target="_blank">dyoo@hashcollision.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div class=""><div class="h5"><span style="color:rgb(34,34,34)">Huh.  Wow.  That actually worked?</span><br></div></div>
<br>
:P<br>
<br>
---<br>
<br>
Frankly speaking though, this sounds like a horrible XSRF-style attack<br>
in waiting, if I understand what has just happened.<br>
(<a href="http://en.wikipedia.org/wiki/Cross-site_request_forgery" target="_blank">http://en.wikipedia.org/wiki/Cross-site_request_forgery</a>)<br>
<br>
Usually, requests to do mutation operations are protected so that, in<br>
order to make the request, you have to have some knowledge in the<br>
request that's specific to the user, and not public knowledge.  The<br>
URL you've described is missing this basic information, an "XSRF<br>
token" as its commonly known (though I would have assumed it would be<br>
called an "anti-XSRF" token, but oh well.)<br>
<br>
I'm not sure how your web browser is handling the 'steam://' URL<br>
class, but I would very much hope that, in the interface between the<br>
browser and your Steam client, it's doing something to mitigate what<br>
looks like an XSRF exploit.<br></blockquote><div><br></div><div>Well, the person needs to be logged in the browser (maybe cookies are set for that), when I trigger that in the browser it automatically opens the Steam software installed in the computer and add the person. I don't know if it's a flaw, but it's very useful for what I'm doing. If you go to ANY profile on Steam (after logged in), let's say '<a href="http://steamcommunity.com/profiles/">http://steamcommunity.com/profiles/</a><ID_HERE>', you can add the person, that simple.</div></div></div></div>