• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Межсайтовая аунтификация

  • Автор темы ALR
  • Дата начала
Статус
Закрыто для дальнейших ответов.
A

ALR

Писал на другом форуме:
Помогите написать скрипт, который бы заходил на сайт
Ссылка скрыта от гостей
и авторизировался бы на нем. Как примерно должно работать: я кликаю на ссылку скрипта, он бы заходил на данную страницу и авторизировался бы на ней. Логин и пароль содержится в тексте скрипта, чтоб не нужно было бы вводить его.
Нажмите, чтобы раскрыть...
Вот что ответили
Что-то мну кажеться что, просто не получиться написать такой скрипт.....
у них форма авторизации:
Код: 
<form method="POST"> 
<input type='text' name='account_name' class='input'/> 
<input type='password' name='password' class='input'/> 
<input type='submit' name='submit' class='normal'value='Войти' /> 
<input type='hidden' name='fcid' value='439'/> 
<input type='hidden' name='fkey' value='5787409d9357b14a493c9d30f71a99ed'/> 
</form>
Так вот, если б не скрытые поля, то можно было бы сделать просто,
на своей страничке вставить код:
Код: 
<form action="http://j-net.ru/" method="post"> 
<input type='hidden' name="account_name" value="robinbobin"> 
<input type='hidden' name="password" value="123456"> 
<a onClick="submit()">go go go</a> 
</form>
а так фиг, без fcid и fkey не заработает, самому сгенерить ты, боюсь, не сможешь....
Так что идея такая:
1. создать на страничке <iframe>
2. загрузить в него
Ссылка скрыта от гостей

3. сделать его невидимым
4. ДжаваСкриптом выципить fcid и fkey
5. создать ссылку которая при событии онКлик, отправляет методом ПОСТ, твои логин, пароль и служебные их переменные на
Ссылка скрыта от гостей
.
Вот и все =)
В общем, если считаешь, что игра стоит свеч, иди на форум по ДжаваСкрипту =), эта задача ближе им чем нам =)
Нажмите, чтобы раскрыть...
Может вы сможете мне помочь
 
G

GOsha

Впринципе правильно написали, но есть подозрения, что можно войти и без хидденов.
повесь форму у себя:
Код: 
<form method="POST" action="{страница аторизации}>"> 
<input type='text' name='account_name' class='input'/> 
<input type='password' name='password' class='input'/> 
<input type='submit' name='submit' class='normal'value='Войти' /> 
</form>
{страница аторизации} - ссылка на страницу авторизации
Ссылка скрыта от гостей
.
И посмотри, что будет.
 
A

ALR

Не работает, просто переходит на страницу, не авторизовавшись.
 
A

Artexoid

ALR
Все нормальные сайты проверяют откуда происходит авторизоваться!! Защита от таких как Вы :)
 
Статус
Закрыто для дальнейших ответов.
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ