נפתר הפניה עם ערכים ב POST
-
@kavkosher כתב בהפניה עם ערכים ב POST:
אני לא כל כך יודע להשתמש בF12 בכל מקרה אם מישהו יכול לנסות אם אפשר לראות את הסיסמה
כאן אני מתכון שיתחבר למערכת שלו וינסה לראות האם הוא מצליח לראות את הסיסמה שלו
נ. ב. בקשר למה שנכתב כאן
@פיסטוק-פרווה כתב בהפניה עם ערכים ב POST:
לכאורה מה שאתם מנסים זה לא כ"כ חוקי...
בדקתי את זה וזה לא אמור לעבוד מכיוון שימות המשיח עובדים עם קבצי cookie כך שרק הם יכולים לקבל את הטוקן, בנוסף גם אם תצליח לעקוף את זה, כפי שנכתב כאן זה לא הכי מומלץ...
וגם לאט לאט כפי שאתם שמים לב, ימות המשיח מוסיפים רקפאצ'ות שמונעות את האופצייה הזאת...אני לא מנסה לעשות API לא רשמי אני בסך הכל רוצה לעשות התחברות לאתר של ימות למשתמשים שאני לא רוצה לתת להם את הסיסמה של המערכת
באופצייה כמו שעשית זה אפשרי, אבל בלי שהמשתמש יכתוב כלום זה כבר לא... אבל אפשרי ג"כ לעשות רק כפתור התחברות פשוט וכלוחצים עליו עוברים לאתר ניהול כמחוברים
-
@kavkosher
מצורף קוד שכשאתה נכנס ללינק אתה מתחבר אוטומטי למערכת.<body onload="document.redirectform.submit()"> <form method="POST" action="https://www.call2all.co.il/ym/login.php" name="redirectform" style="display:none"> <input name="user" value='מספר מערכת'> <input name="password" value='סיסמה'> </form> </body> -
@פיסטוק-פרווה אפשרי אם לא שמת לב שאתה לוחץ שלח זה עובר לדף אתר ששם אוטו מטית נכנס לשדות הערכים ששלחת וגם אוטומטית נלחץ הלחצן שליחה
-
@kavkosher
עכשיו הבאתי לך קוד שאתה לא צריך אפילו ללחוץ, אם אתה רוצה שכן יוכלו ללחוץ תשים את הקוד הזה:<form method="POST" action="https://www.call2all.co.il/ym/login.php"> <input name="user" type="text"> <input name="password" type="password"> <input type="submit"> </form> -
אני עשיתי
<?php $did=$_POST['did']; $password=$_POST['password']; ?> <html><body> <form action="https://www.call2all.co.il/ym/login.php" method="post" target=""><input type="hidden" name="user" value="<?php print "$did";?>"><input type="hidden" name="password" value="<?php print "$password";?>"><input type="submit" value="התחבר לאתר הניהול" class="main" id="main"></form> <script> document.getElementById("main").click()</script> </body></html>מה יותר מאובטח?
-
דרך אגב הקוד שלך צריך להראות כך
<?php $password=$_POST['password']; $did=$_POST['did']; ?> <body onload="document.redirectform.submit()"> <form method="POST" action="https://www.call2all.co.il/ym/login.php" name="redirectform" style="display:none"> <input name="user" value='<?php print "$did";?>'> <input name="password" value='<?php print "$password";?>'> </form> </body>כמובן צריך טופס שישלח את הערכים לדף
-
@kavkosher
זה אותו דבר, וסתם הוספת קוד מיותר, יכולת פשוט לשים ב form את הערך:method="POST"כמו שאני עשיתי ובדף אליו יישלחו הנתונים תגדיר https://www.call2all.co.il/ym/login.php
באופצייה הראשונה, קודם הנתונים נשלחים אליך ואז לימות, כך שאתה גם יכול לשמור אותם לעצמך וזה פחות מאובטח, באופצייה השנייה הנתונים נשלחים ישר לימות... -
@kavkosher כתב בהפניה עם ערכים ב POST:
כמובן צריך טופס שישלח את הערכים לדף
בקוד שהבאתי זה שולח ישר לדף של ימות.
-
לא הבנת מה אני רוצה
אני לא רוצה שכל אחד שידע את הכתובת יוכל להכנס למערכת שלי
אני רוצה שהלקוח יקיש סיסמה שאני יחליט לדוגמה 1234 ואם זה הסיסמה שמוגדרת ישלח לדף הבא עם הסיסמת ניהול האמיתית ואם הסיסמה שהקיש היא לא הסיסמה שהגדרתי לו זה לא יתן לו להתחבר
והיה חסר לי רק הקטע שמפנה לאתר של ימות עם ערכים ב POST -
הנושא סומן כנפתר K kavkosher
-
הנושא סומן כלא נפתר K kavkosher
-
הנושא סומן כנפתר K kavkosher
-
@kavkosher
הבנתי את זה והקוד שהבאתי פשוט שולח את הערכים לאיזה דף שאתה רוצה ב post! -
@kavkosher כתב בהפניה עם ערכים ב POST:
אני לא מנסה לעשות API לא רשמי אני בסך הכל רוצה לעשות התחברות לאתר של ימות למשתמשים שאני לא רוצה לתת להם את הסיסמה של המערכת
אז זה לא אפשרי. נקודה. אין דרך לעשות את זה.
סופו של דבר בקשת ההתחברות צריכה להגיע מהלקוח - והלקוח יכול לראות מה קורה אצלו... -
@kavkosher כתב בהפניה עם ערכים ב POST:
כאן אני מתכון שיתחבר למערכת שלו וינסה לראות האם הוא מצליח לראות את הסיסמה שלו
בטח שרואים, כי אתה פשוט מעביר לדף login.php את הפרטים ורואים את זה בבקשה.
-
@kavkosher
הנה קוד שמותאם במיוחד בשבילך, ואף פעם הלקוח לא יוכל לדעת מה הסיסמה שלו, אבל לקחת את הטוקן שימות יוצרים, כן...<form dir="rtl" method="POST" action="https://www.call2all.co.il/ym/login.php"> מספר מערכת: <input name="user" type="text"><br><br> סיסמה: <input name="password" type="password"><br><br> <input type="submit" formtarget="_blank"/> </form> -
@פיסטוק-פרווה כתב בהפניה עם ערכים ב POST:
@kavkosher
הנה קוד שמותאם במיוחד בשבילך, ואף פעם הלקוח לא יוכל לדעת מה הסיסמה שלו, אבל לקחת את הטוקן שימות יוצרים, כן...<form dir="rtl" method="POST" action="https://www.call2all.co.il/ym/login.php"> מספר מערכת: <input name="user" type="text"><br><br> סיסמה: <input name="password" type="password"><br><br> <input type="submit" formtarget="_blank"/> </form>איך בדיוק "הלקוח לא יוכל לדעת מה הסיסמה שלו", אם הוא צריך להקיש אותה בעצמו 🫣
-
@פיסטוק-פרווה כתב בהפניה עם ערכים ב POST:
הנה קוד שמותאם במיוחד בשבילך, ואף פעם הלקוח לא יוכל לדעת מה הסיסמה שלו, אבל לקחת את הטוקן שימות יוצרים, כן...
זה ממש ממש לא נכון.
א: הלקוח תמיד יוכל לראות את הטופס עצמו, בform שהוא נשלח (גם אם אתה יוצר אותו בשרת שלך וזה לא input, הרי בסופו של דבר הform אצל הלקוח בדף), למרות שהוספת שזה יפתח בכרטיסיה חדשה.
ב: מכיר את ה flagauto-open-devtools-for-tabsבכרום? לא בטוח שהוא לבד יעזור, אבל יהיה אפשר להגיע לזה עם זה נעשה בצורה נכונה - מניסיון.ג: אני חוזר על מה שאמרתי: אין דרך לעשות פעולה בצד לקוח בלי שלהקוח יהיה מודע אליה.
@פיסטוק-פרווה כתב בהפניה עם ערכים ב POST:
אבל לקחת את הטוקן שימות יוצרים, כן..
לגבי זה, גם את"ל שמה שאמרת נכון, לא הבנתי על איזה טוקן אתה מדבר שנוצר. באתר ניהול הטוקן לא חשוף ללקוח, וגם אם הוא ידע אותו, אין לו איך להשתמש בו. זה פותח שם סשן.
-
@שמואל
אתה צודק לגבי הדבר הראשון שאם הלקוח יעשה את כל הדברים האלו בסופו של דבר הוא יוכל לדעת מה הסיסמה האמיתית של המערכת שלו,מה שכתבתי לגבי הטוקן זה גם לא נכון כי ימות לא שולחים את הטוקן לעצמם אלא שולפים אותו מהקוקי של הלקוח או מכל מקום אחר.
כרגע לפי כל מה שיוצא פה אתה פשוט צריך ליצור אתר חדש לניהול מערכת טלפונית שעובד על ידי יצירת טוקן...
אם אתה רוצה אולי אוכל לעזור לך קצת בקטע הזה.... -
הנושא נסגר
-
הנושא סומן כנושא רגיל K kavkosher
-
הנושא סומן כשאלה K kavkosher
-
הנושא סומן כנפתר K kavkosher
-
ננעל על ידי L Liy
