נפתר הפניה עם ערכים ב POST
-
@פיסטוק-פרווה כתב בהפניה עם ערכים ב POST:
וגם לאט לאט כפי שאתם שמים לב, ימות המשיח מוסיפים רקפאצ'ות שמונעות את האופצייה הזאת...
זה לא בדיוק נכון.
מה שהשואל ביקש זה אפשרות לשלוח את הלקוח לדף הlogin בPOST עם המשתמש והסיסמה שזה ישלח בפועל מהלקוח.
כרגע, זה לא משהוא שנמנע על ידינו, אבל שוב, זה כל עוד זה באמת בקשה שמבוצעת בלקוח - ולא בתוך שרת שלם שמבצע תקשורת עם האתר - שזו ההודעה שהבאת מהפורום הישן.בכל מקרה,
כיום אני לא חושב שיש עניין ב"קומבינה" של התחזות לצד לקוח - כי הכל ואפילו יותר קיים בAPI, בכל מקרה, באם לקוחות יפרו את ההוראה הזו - להוסיף קאפצ'ה לדף התחברות באתר - זה בערך 3 דקות עבודה...ולשאלת השואל בהתחלה, כמו שענו כמה פעמים - אין דרך לעשות שההתחברות תיהיה אצל הלקוח - בלי שהוא יוכל להוציא את הסיסמה, ואין דרך לעשות את ההתחברות בשרת ולהעביר אותה ללקוח "כבר מחובר"...
-
@שמואל
אתה צודק,
לפי איך שהבנתי, אחרי שיווצר לו טוקן הוא גם רוצה להתחבר איתו לדף הראשי או לדפים אחרים... -
אני לא כל כך יודע להשתמש בF12 בכל מקרה אם מישהו יכול לנסות אם אפשר לראות את הסיסמה
כאן אני מתכון שיתחבר למערכת שלו וינסה לראות האם הוא מצליח לראות את הסיסמה שלו
נ. ב. בקשר למה שנכתב כאן
@פיסטוק-פרווה כתב בהפניה עם ערכים ב POST:
לכאורה מה שאתם מנסים זה לא כ"כ חוקי...
בדקתי את זה וזה לא אמור לעבוד מכיוון שימות המשיח עובדים עם קבצי cookie כך שרק הם יכולים לקבל את הטוקן, בנוסף גם אם תצליח לעקוף את זה, כפי שנכתב כאן זה לא הכי מומלץ...
וגם לאט לאט כפי שאתם שמים לב, ימות המשיח מוסיפים רקפאצ'ות שמונעות את האופצייה הזאת...אני לא מנסה לעשות API לא רשמי אני בסך הכל רוצה לעשות התחברות לאתר של ימות למשתמשים שאני לא רוצה לתת להם את הסיסמה של המערכת
-
@kavkosher
אוקיי הבנתי... -
@kavkosher כתב בהפניה עם ערכים ב POST:
אני לא כל כך יודע להשתמש בF12 בכל מקרה אם מישהו יכול לנסות אם אפשר לראות את הסיסמה
כאן אני מתכון שיתחבר למערכת שלו וינסה לראות האם הוא מצליח לראות את הסיסמה שלו
נ. ב. בקשר למה שנכתב כאן
@פיסטוק-פרווה כתב בהפניה עם ערכים ב POST:
לכאורה מה שאתם מנסים זה לא כ"כ חוקי...
בדקתי את זה וזה לא אמור לעבוד מכיוון שימות המשיח עובדים עם קבצי cookie כך שרק הם יכולים לקבל את הטוקן, בנוסף גם אם תצליח לעקוף את זה, כפי שנכתב כאן זה לא הכי מומלץ...
וגם לאט לאט כפי שאתם שמים לב, ימות המשיח מוסיפים רקפאצ'ות שמונעות את האופצייה הזאת...אני לא מנסה לעשות API לא רשמי אני בסך הכל רוצה לעשות התחברות לאתר של ימות למשתמשים שאני לא רוצה לתת להם את הסיסמה של המערכת
באופצייה כמו שעשית זה אפשרי, אבל בלי שהמשתמש יכתוב כלום זה כבר לא... אבל אפשרי ג"כ לעשות רק כפתור התחברות פשוט וכלוחצים עליו עוברים לאתר ניהול כמחוברים
-
@kavkosher
מצורף קוד שכשאתה נכנס ללינק אתה מתחבר אוטומטי למערכת.<body onload="document.redirectform.submit()"> <form method="POST" action="https://www.call2all.co.il/ym/login.php" name="redirectform" style="display:none"> <input name="user" value='מספר מערכת'> <input name="password" value='סיסמה'> </form> </body>
-
@פיסטוק-פרווה אפשרי אם לא שמת לב שאתה לוחץ שלח זה עובר לדף אתר ששם אוטו מטית נכנס לשדות הערכים ששלחת וגם אוטומטית נלחץ הלחצן שליחה
-
@kavkosher
עכשיו הבאתי לך קוד שאתה לא צריך אפילו ללחוץ, אם אתה רוצה שכן יוכלו ללחוץ תשים את הקוד הזה:<form method="POST" action="https://www.call2all.co.il/ym/login.php"> <input name="user" type="text"> <input name="password" type="password"> <input type="submit"> </form>
-
אני עשיתי
<?php $did=$_POST['did']; $password=$_POST['password']; ?> <html><body> <form action="https://www.call2all.co.il/ym/login.php" method="post" target=""><input type="hidden" name="user" value="<?php print "$did";?>"><input type="hidden" name="password" value="<?php print "$password";?>"><input type="submit" value="התחבר לאתר הניהול" class="main" id="main"></form> <script> document.getElementById("main").click()</script> </body></html>
מה יותר מאובטח?
-
דרך אגב הקוד שלך צריך להראות כך
<?php $password=$_POST['password']; $did=$_POST['did']; ?> <body onload="document.redirectform.submit()"> <form method="POST" action="https://www.call2all.co.il/ym/login.php" name="redirectform" style="display:none"> <input name="user" value='<?php print "$did";?>'> <input name="password" value='<?php print "$password";?>'> </form> </body>
כמובן צריך טופס שישלח את הערכים לדף
-
@kavkosher
זה אותו דבר, וסתם הוספת קוד מיותר, יכולת פשוט לשים ב form את הערך:method="POST"
כמו שאני עשיתי ובדף אליו יישלחו הנתונים תגדיר https://www.call2all.co.il/ym/login.php
באופצייה הראשונה, קודם הנתונים נשלחים אליך ואז לימות, כך שאתה גם יכול לשמור אותם לעצמך וזה פחות מאובטח, באופצייה השנייה הנתונים נשלחים ישר לימות... -
@kavkosher כתב בהפניה עם ערכים ב POST:
כמובן צריך טופס שישלח את הערכים לדף
בקוד שהבאתי זה שולח ישר לדף של ימות.
-
לא הבנת מה אני רוצה
אני לא רוצה שכל אחד שידע את הכתובת יוכל להכנס למערכת שלי
אני רוצה שהלקוח יקיש סיסמה שאני יחליט לדוגמה 1234 ואם זה הסיסמה שמוגדרת ישלח לדף הבא עם הסיסמת ניהול האמיתית ואם הסיסמה שהקיש היא לא הסיסמה שהגדרתי לו זה לא יתן לו להתחבר
והיה חסר לי רק הקטע שמפנה לאתר של ימות עם ערכים ב POST -
-
-
-
@kavkosher
הבנתי את זה והקוד שהבאתי פשוט שולח את הערכים לאיזה דף שאתה רוצה ב post! -
@kavkosher כתב בהפניה עם ערכים ב POST:
אני לא מנסה לעשות API לא רשמי אני בסך הכל רוצה לעשות התחברות לאתר של ימות למשתמשים שאני לא רוצה לתת להם את הסיסמה של המערכת
אז זה לא אפשרי. נקודה. אין דרך לעשות את זה.
סופו של דבר בקשת ההתחברות צריכה להגיע מהלקוח - והלקוח יכול לראות מה קורה אצלו... -
@kavkosher כתב בהפניה עם ערכים ב POST:
כאן אני מתכון שיתחבר למערכת שלו וינסה לראות האם הוא מצליח לראות את הסיסמה שלו
בטח שרואים, כי אתה פשוט מעביר לדף login.php את הפרטים ורואים את זה בבקשה.
-
@kavkosher
הנה קוד שמותאם במיוחד בשבילך, ואף פעם הלקוח לא יוכל לדעת מה הסיסמה שלו, אבל לקחת את הטוקן שימות יוצרים, כן...<form dir="rtl" method="POST" action="https://www.call2all.co.il/ym/login.php"> מספר מערכת: <input name="user" type="text"><br><br> סיסמה: <input name="password" type="password"><br><br> <input type="submit" formtarget="_blank"/> </form>
-
@פיסטוק-פרווה כתב בהפניה עם ערכים ב POST:
@kavkosher
הנה קוד שמותאם במיוחד בשבילך, ואף פעם הלקוח לא יוכל לדעת מה הסיסמה שלו, אבל לקחת את הטוקן שימות יוצרים, כן...<form dir="rtl" method="POST" action="https://www.call2all.co.il/ym/login.php"> מספר מערכת: <input name="user" type="text"><br><br> סיסמה: <input name="password" type="password"><br><br> <input type="submit" formtarget="_blank"/> </form>
איך בדיוק "הלקוח לא יוכל לדעת מה הסיסמה שלו", אם הוא צריך להקיש אותה בעצמו 🫣
-
@פיסטוק-פרווה כתב בהפניה עם ערכים ב POST:
הנה קוד שמותאם במיוחד בשבילך, ואף פעם הלקוח לא יוכל לדעת מה הסיסמה שלו, אבל לקחת את הטוקן שימות יוצרים, כן...
זה ממש ממש לא נכון.
א: הלקוח תמיד יוכל לראות את הטופס עצמו, בform שהוא נשלח (גם אם אתה יוצר אותו בשרת שלך וזה לא input, הרי בסופו של דבר הform אצל הלקוח בדף), למרות שהוספת שזה יפתח בכרטיסיה חדשה.
ב: מכיר את ה flagauto-open-devtools-for-tabs
בכרום? לא בטוח שהוא לבד יעזור, אבל יהיה אפשר להגיע לזה עם זה נעשה בצורה נכונה - מניסיון.ג: אני חוזר על מה שאמרתי: אין דרך לעשות פעולה בצד לקוח בלי שלהקוח יהיה מודע אליה.
@פיסטוק-פרווה כתב בהפניה עם ערכים ב POST:
אבל לקחת את הטוקן שימות יוצרים, כן..
לגבי זה, גם את"ל שמה שאמרת נכון, לא הבנתי על איזה טוקן אתה מדבר שנוצר. באתר ניהול הטוקן לא חשוף ללקוח, וגם אם הוא ידע אותו, אין לו איך להשתמש בו. זה פותח שם סשן.
-
@שמואל
אתה צודק לגבי הדבר הראשון שאם הלקוח יעשה את כל הדברים האלו בסופו של דבר הוא יוכל לדעת מה הסיסמה האמיתית של המערכת שלו,מה שכתבתי לגבי הטוקן זה גם לא נכון כי ימות לא שולחים את הטוקן לעצמם אלא שולפים אותו מהקוקי של הלקוח או מכל מקום אחר.
כרגע לפי כל מה שיוצא פה אתה פשוט צריך ליצור אתר חדש לניהול מערכת טלפונית שעובד על ידי יצירת טוקן...
אם אתה רוצה אולי אוכל לעזור לך קצת בקטע הזה....