• הרשמה
    • התחברות
    • חיפוש
    • דף הבית
    • אינדקס קישורים
    • פוסטים אחרונים
    • קבלת התראות מהדפדפן
    • משתמשים
    • חיפוש בהגדרות המתקדמות
    • חיפוש גוגל בפורום
    • ניהול המערכת
    • ניהול המערכת - שרת private

    נפתר הפניה עם ערכים ב POST

    פורום PHP
    9
    53
    1159
    טוען פוסטים נוספים
    • מהישן לחדש
    • מהחדש לישן
    • הכי הרבה הצבעות
    תגובה
    • הגיבו כנושא
    התחברו בכדי לפרסם תגובה
    נושא זה נמחק. רק משתמשים עם הרשאות מתאימות יוכלו לצפות בו.
    • פ
      פיסטוק פרווה מומחה @kavkosher נערך לאחרונה על ידי

      @kavkosher כתב בהפניה עם ערכים ב POST:

      אני לא כל כך יודע להשתמש בF12 בכל מקרה אם מישהו יכול לנסות אם אפשר לראות את הסיסמה

      כאן אני מתכון שיתחבר למערכת שלו וינסה לראות האם הוא מצליח לראות את הסיסמה שלו

      נ. ב. בקשר למה שנכתב כאן

      @פיסטוק-פרווה כתב בהפניה עם ערכים ב POST:

      לכאורה מה שאתם מנסים זה לא כ"כ חוקי...
      בדקתי את זה וזה לא אמור לעבוד מכיוון שימות המשיח עובדים עם קבצי cookie כך שרק הם יכולים לקבל את הטוקן, בנוסף גם אם תצליח לעקוף את זה, כפי שנכתב כאן זה לא הכי מומלץ...
      וגם לאט לאט כפי שאתם שמים לב, ימות המשיח מוסיפים רקפאצ'ות שמונעות את האופצייה הזאת...

      אני לא מנסה לעשות API לא רשמי אני בסך הכל רוצה לעשות התחברות לאתר של ימות למשתמשים שאני לא רוצה לתת להם את הסיסמה של המערכת

      באופצייה כמו שעשית זה אפשרי, אבל בלי שהמשתמש יכתוב כלום זה כבר לא... אבל אפשרי ג"כ לעשות רק כפתור התחברות פשוט וכלוחצים עליו עוברים לאתר ניהול כמחוברים

      K תגובה 1 תגובה אחרונה תגובה ציטוט 0
      • פ
        פיסטוק פרווה מומחה @kavkosher נערך לאחרונה על ידי

        @kavkosher
        מצורף קוד שכשאתה נכנס ללינק אתה מתחבר אוטומטי למערכת.

        <body onload="document.redirectform.submit()">   
            <form method="POST" action="https://www.call2all.co.il/ym/login.php" name="redirectform" style="display:none">
            <input name="user" value='מספר מערכת'>
            <input name="password" value='סיסמה'>
            </form>
        </body>
        
        תגובה 1 תגובה אחרונה תגובה ציטוט 0
        • K
          kavkosher מורחק @פיסטוק פרווה נערך לאחרונה על ידי

          @פיסטוק-פרווה אפשרי אם לא שמת לב שאתה לוחץ שלח זה עובר לדף אתר ששם אוטו מטית נכנס לשדות הערכים ששלחת וגם אוטומטית נלחץ הלחצן שליחה

          פ תגובה 1 תגובה אחרונה תגובה ציטוט 1
          • פ
            פיסטוק פרווה מומחה @kavkosher נערך לאחרונה על ידי

            @kavkosher
            עכשיו הבאתי לך קוד שאתה לא צריך אפילו ללחוץ, אם אתה רוצה שכן יוכלו ללחוץ תשים את הקוד הזה:

                <form method="POST" action="https://www.call2all.co.il/ym/login.php">
                <input name="user" type="text">
                <input name="password" type="password">
                <input type="submit">
                </form>
            
            תגובה 1 תגובה אחרונה תגובה ציטוט 0
            • K
              kavkosher מורחק נערך לאחרונה על ידי

              אני עשיתי

              <?php
              $did=$_POST['did'];
              $password=$_POST['password'];
              ?>
              
              <html><body>
              <form action="https://www.call2all.co.il/ym/login.php" method="post" target=""><input type="hidden" name="user" value="<?php print "$did";?>"><input type="hidden" name="password" value="<?php print "$password";?>"><input type="submit" value="התחבר לאתר הניהול" class="main" id="main"></form>
              
              <script>
              document.getElementById("main").click()</script>
              </body></html>
              

              מה יותר מאובטח?

              פ תגובה 1 תגובה אחרונה תגובה ציטוט 1
              • K
                kavkosher מורחק נערך לאחרונה על ידי

                דרך אגב הקוד שלך צריך להראות כך

                <?php
                $password=$_POST['password'];
                $did=$_POST['did'];
                ?>
                
                
                <body onload="document.redirectform.submit()">   
                    <form method="POST" action="https://www.call2all.co.il/ym/login.php" name="redirectform" style="display:none">
                    <input name="user" value='<?php print "$did";?>'>
                    <input name="password" value='<?php print "$password";?>'>
                    </form>
                </body>
                
                

                כמובן צריך טופס שישלח את הערכים לדף

                פ תגובה 1 תגובה אחרונה תגובה ציטוט 1
                • פ
                  פיסטוק פרווה מומחה @kavkosher נערך לאחרונה על ידי פיסטוק פרווה

                  @kavkosher
                  זה אותו דבר, וסתם הוספת קוד מיותר, יכולת פשוט לשים ב form את הערך:

                  method="POST"
                  

                  כמו שאני עשיתי ובדף אליו יישלחו הנתונים תגדיר https://www.call2all.co.il/ym/login.php
                  באופצייה הראשונה, קודם הנתונים נשלחים אליך ואז לימות, כך שאתה גם יכול לשמור אותם לעצמך וזה פחות מאובטח, באופצייה השנייה הנתונים נשלחים ישר לימות...

                  תגובה 1 תגובה אחרונה תגובה ציטוט 0
                  • פ
                    פיסטוק פרווה מומחה @kavkosher נערך לאחרונה על ידי

                    @kavkosher כתב בהפניה עם ערכים ב POST:

                    כמובן צריך טופס שישלח את הערכים לדף

                    בקוד שהבאתי זה שולח ישר לדף של ימות.

                    תגובה 1 תגובה אחרונה תגובה ציטוט 0
                    • K
                      kavkosher מורחק נערך לאחרונה על ידי

                      לא הבנת מה אני רוצה
                      אני לא רוצה שכל אחד שידע את הכתובת יוכל להכנס למערכת שלי
                      אני רוצה שהלקוח יקיש סיסמה שאני יחליט לדוגמה 1234 ואם זה הסיסמה שמוגדרת ישלח לדף הבא עם הסיסמת ניהול האמיתית ואם הסיסמה שהקיש היא לא הסיסמה שהגדרתי לו זה לא יתן לו להתחבר
                      והיה חסר לי רק הקטע שמפנה לאתר של ימות עם ערכים ב POST

                      פ 2 תגובות תגובה אחרונה תגובה ציטוט 1
                      • הנושא סומן כנפתר  K kavkosher 
                      • הנושא סומן כלא נפתר  K kavkosher 
                      • הנושא סומן כנפתר  K kavkosher 
                      • פ
                        פיסטוק פרווה מומחה @kavkosher נערך לאחרונה על ידי

                        @kavkosher
                        הבנתי את זה והקוד שהבאתי פשוט שולח את הערכים לאיזה דף שאתה רוצה ב post!

                        תגובה 1 תגובה אחרונה תגובה ציטוט 0
                        • שמואל
                          שמואל @kavkosher נערך לאחרונה על ידי

                          @kavkosher כתב בהפניה עם ערכים ב POST:

                          אני לא מנסה לעשות API לא רשמי אני בסך הכל רוצה לעשות התחברות לאתר של ימות למשתמשים שאני לא רוצה לתת להם את הסיסמה של המערכת

                          אז זה לא אפשרי. נקודה. אין דרך לעשות את זה.
                          סופו של דבר בקשת ההתחברות צריכה להגיע מהלקוח - והלקוח יכול לראות מה קורה אצלו...

                          לפניות בנוגע לפורום: shmuel@yemot.co.il

                          תגובה 1 תגובה אחרונה תגובה ציטוט 1
                          • שמואל
                            שמואל @kavkosher נערך לאחרונה על ידי

                            @kavkosher כתב בהפניה עם ערכים ב POST:

                            כאן אני מתכון שיתחבר למערכת שלו וינסה לראות האם הוא מצליח לראות את הסיסמה שלו

                            20fe5f6f-9b52-4794-9b93-1750d0277537-image.png

                            בטח שרואים, כי אתה פשוט מעביר לדף login.php את הפרטים ורואים את זה בבקשה.

                            לפניות בנוגע לפורום: shmuel@yemot.co.il

                            תגובה 1 תגובה אחרונה תגובה ציטוט 2
                            • פ
                              פיסטוק פרווה מומחה @kavkosher נערך לאחרונה על ידי

                              @kavkosher
                              הנה קוד שמותאם במיוחד בשבילך, ואף פעם הלקוח לא יוכל לדעת מה הסיסמה שלו, אבל לקחת את הטוקן שימות יוצרים, כן...

                              <form dir="rtl" method="POST" action="https://www.call2all.co.il/ym/login.php">
                              מספר מערכת: <input name="user" type="text"><br><br>
                              סיסמה: <input name="password" type="password"><br><br>
                              <input type="submit" formtarget="_blank"/>
                              </form>
                              צ שמואל 2 תגובות תגובה אחרונה תגובה ציטוט 0
                              • צ
                                צדיק תמים מומחה @פיסטוק פרווה נערך לאחרונה על ידי צדיק תמים

                                @פיסטוק-פרווה כתב בהפניה עם ערכים ב POST:

                                @kavkosher
                                הנה קוד שמותאם במיוחד בשבילך, ואף פעם הלקוח לא יוכל לדעת מה הסיסמה שלו, אבל לקחת את הטוקן שימות יוצרים, כן...

                                <form dir="rtl" method="POST" action="https://www.call2all.co.il/ym/login.php">
                                מספר מערכת: <input name="user" type="text"><br><br>
                                סיסמה: <input name="password" type="password"><br><br>
                                <input type="submit" formtarget="_blank"/>
                                </form>
                                

                                איך בדיוק "הלקוח לא יוכל לדעת מה הסיסמה שלו", אם הוא צריך להקיש אותה בעצמו 🫣

                                תגובה 1 תגובה אחרונה תגובה ציטוט 1
                                • שמואל
                                  שמואל @פיסטוק פרווה נערך לאחרונה על ידי שמואל

                                  @פיסטוק-פרווה כתב בהפניה עם ערכים ב POST:

                                  הנה קוד שמותאם במיוחד בשבילך, ואף פעם הלקוח לא יוכל לדעת מה הסיסמה שלו, אבל לקחת את הטוקן שימות יוצרים, כן...

                                  זה ממש ממש לא נכון.

                                  א: הלקוח תמיד יוכל לראות את הטופס עצמו, בform שהוא נשלח (גם אם אתה יוצר אותו בשרת שלך וזה לא input, הרי בסופו של דבר הform אצל הלקוח בדף), למרות שהוספת שזה יפתח בכרטיסיה חדשה.
                                  ב: מכיר את ה flag auto-open-devtools-for-tabs בכרום? לא בטוח שהוא לבד יעזור, אבל יהיה אפשר להגיע לזה עם זה נעשה בצורה נכונה - מניסיון.

                                  ג: אני חוזר על מה שאמרתי: אין דרך לעשות פעולה בצד לקוח בלי שלהקוח יהיה מודע אליה.

                                  @פיסטוק-פרווה כתב בהפניה עם ערכים ב POST:

                                  אבל לקחת את הטוקן שימות יוצרים, כן..

                                  לגבי זה, גם את"ל שמה שאמרת נכון, לא הבנתי על איזה טוקן אתה מדבר שנוצר. באתר ניהול הטוקן לא חשוף ללקוח, וגם אם הוא ידע אותו, אין לו איך להשתמש בו. זה פותח שם סשן.

                                  לפניות בנוגע לפורום: shmuel@yemot.co.il

                                  פ תגובה 1 תגובה אחרונה תגובה ציטוט 3
                                  • פ
                                    פיסטוק פרווה מומחה @שמואל נערך לאחרונה על ידי

                                    @שמואל
                                    אתה צודק לגבי הדבר הראשון שאם הלקוח יעשה את כל הדברים האלו בסופו של דבר הוא יוכל לדעת מה הסיסמה האמיתית של המערכת שלו,

                                    מה שכתבתי לגבי הטוקן זה גם לא נכון כי ימות לא שולחים את הטוקן לעצמם אלא שולפים אותו מהקוקי של הלקוח או מכל מקום אחר.

                                    כרגע לפי כל מה שיוצא פה אתה פשוט צריך ליצור אתר חדש לניהול מערכת טלפונית שעובד על ידי יצירת טוקן...
                                    אם אתה רוצה אולי אוכל לעזור לך קצת בקטע הזה....

                                    תגובה 1 תגובה אחרונה תגובה ציטוט 0
                                    • K
                                      kavkosher מורחק נערך לאחרונה על ידי

                                      הנושא נסגר

                                      תגובה 1 תגובה אחרונה תגובה ציטוט 1
                                      • הנושא סומן כנושא רגיל  K kavkosher 
                                      • הנושא סומן כשאלה  K kavkosher 
                                      • הנושא סומן כנפתר  K kavkosher 
                                      • ננעל על ידי  L Liy 
                                      • פוסט ראשון
                                        פוסט אחרון