נפתר הפניה עם ערכים ב POST
-
@kavkosher כתב בהפניה עם ערכים ב POST:
אולי אפשר לתת לי קוד JS שלוחץ על הלחצן
<input type="submit" value="התחברות לאתר הניהול" class="d-none" id="main">
יש כזה דבר או לא?
-
@kavkosher כתב בהפניה עם ערכים ב POST:
@kavkosher כתב בהפניה עם ערכים ב POST:
אולי אפשר לתת לי קוד JS שלוחץ על הלחצן
<input type="submit" value="התחברות לאתר הניהול" class="d-none" id="main">
יש כזה דבר או לא?
יש
תחפש בגוגל -
אני לא מוצא
-
כל דרך שתעשה שלקוח ילחץ על הלחצן ויעבור לניהול הוא יוכל לראות את הסיסמה אם הוא רוצה, חבל לך על הזמן חיפוש.
הוא יוכל להסתכל איזה פעולה קורה כשלוחצים על הלחצן וזה יציג לו וככה הוא יוכל לראות את היוזר והסיסמה,
הפתרון הוא או להביא ללקוח את הסיסמה האמיתית, או ליצור לבד אתר ניהול מערכות וככה להציג מהשרת שלך רק ליוזר ולסיסמה שאתה רוצה שיקישו. -
-
@אנונימוסס כתב בהפניה עם ערכים ב POST:
@kavkosher כתב בהפניה עם ערכים ב POST:
אני לא מוצא
אם אתה עובד גם עם ריאקט, יש אפשרות של useRef
איך זה קשור?
-
@kavkosher כתב בהפניה עם ערכים ב POST:
אני לא מוצא
קח, בבקשה:
document.getElementById("main").click()
חיפוש אחד, 105,000,000 תוצאות.
https://www.google.com/search?q=JS+click+element+by+id -
-
@kavkosher כתב בהפניה עם ערכים ב POST:
לכאורה מה שאתם מנסים זה לא כ"כ חוקי...
בדקתי את זה וזה לא אמור לעבוד מכיוון שימות המשיח עובדים עם קבצי cookie כך שרק הם יכולים לקבל את הטוקן, בנוסף גם אם תצליח לעקוף את זה, כפי שנכתב כאן זה לא הכי מומלץ...
וגם לאט לאט כפי שאתם שמים לב, ימות המשיח מוסיפים רקפאצ'ות שמונעות את האופצייה הזאת... -
@פיסטוק-פרווה כתב בהפניה עם ערכים ב POST:
וגם לאט לאט כפי שאתם שמים לב, ימות המשיח מוסיפים רקפאצ'ות שמונעות את האופצייה הזאת...
זה לא בדיוק נכון.
מה שהשואל ביקש זה אפשרות לשלוח את הלקוח לדף הlogin בPOST עם המשתמש והסיסמה שזה ישלח בפועל מהלקוח.
כרגע, זה לא משהוא שנמנע על ידינו, אבל שוב, זה כל עוד זה באמת בקשה שמבוצעת בלקוח - ולא בתוך שרת שלם שמבצע תקשורת עם האתר - שזו ההודעה שהבאת מהפורום הישן.בכל מקרה,
כיום אני לא חושב שיש עניין ב"קומבינה" של התחזות לצד לקוח - כי הכל ואפילו יותר קיים בAPI, בכל מקרה, באם לקוחות יפרו את ההוראה הזו - להוסיף קאפצ'ה לדף התחברות באתר - זה בערך 3 דקות עבודה...ולשאלת השואל בהתחלה, כמו שענו כמה פעמים - אין דרך לעשות שההתחברות תיהיה אצל הלקוח - בלי שהוא יוכל להוציא את הסיסמה, ואין דרך לעשות את ההתחברות בשרת ולהעביר אותה ללקוח "כבר מחובר"...
-
@שמואל
אתה צודק,
לפי איך שהבנתי, אחרי שיווצר לו טוקן הוא גם רוצה להתחבר איתו לדף הראשי או לדפים אחרים... -
אני לא כל כך יודע להשתמש בF12 בכל מקרה אם מישהו יכול לנסות אם אפשר לראות את הסיסמה
כאן אני מתכון שיתחבר למערכת שלו וינסה לראות האם הוא מצליח לראות את הסיסמה שלו
נ. ב. בקשר למה שנכתב כאן
@פיסטוק-פרווה כתב בהפניה עם ערכים ב POST:
לכאורה מה שאתם מנסים זה לא כ"כ חוקי...
בדקתי את זה וזה לא אמור לעבוד מכיוון שימות המשיח עובדים עם קבצי cookie כך שרק הם יכולים לקבל את הטוקן, בנוסף גם אם תצליח לעקוף את זה, כפי שנכתב כאן זה לא הכי מומלץ...
וגם לאט לאט כפי שאתם שמים לב, ימות המשיח מוסיפים רקפאצ'ות שמונעות את האופצייה הזאת...אני לא מנסה לעשות API לא רשמי אני בסך הכל רוצה לעשות התחברות לאתר של ימות למשתמשים שאני לא רוצה לתת להם את הסיסמה של המערכת
-
@kavkosher
אוקיי הבנתי... -
@kavkosher כתב בהפניה עם ערכים ב POST:
אני לא כל כך יודע להשתמש בF12 בכל מקרה אם מישהו יכול לנסות אם אפשר לראות את הסיסמה
כאן אני מתכון שיתחבר למערכת שלו וינסה לראות האם הוא מצליח לראות את הסיסמה שלו
נ. ב. בקשר למה שנכתב כאן
@פיסטוק-פרווה כתב בהפניה עם ערכים ב POST:
לכאורה מה שאתם מנסים זה לא כ"כ חוקי...
בדקתי את זה וזה לא אמור לעבוד מכיוון שימות המשיח עובדים עם קבצי cookie כך שרק הם יכולים לקבל את הטוקן, בנוסף גם אם תצליח לעקוף את זה, כפי שנכתב כאן זה לא הכי מומלץ...
וגם לאט לאט כפי שאתם שמים לב, ימות המשיח מוסיפים רקפאצ'ות שמונעות את האופצייה הזאת...אני לא מנסה לעשות API לא רשמי אני בסך הכל רוצה לעשות התחברות לאתר של ימות למשתמשים שאני לא רוצה לתת להם את הסיסמה של המערכת
באופצייה כמו שעשית זה אפשרי, אבל בלי שהמשתמש יכתוב כלום זה כבר לא... אבל אפשרי ג"כ לעשות רק כפתור התחברות פשוט וכלוחצים עליו עוברים לאתר ניהול כמחוברים
-
@kavkosher
מצורף קוד שכשאתה נכנס ללינק אתה מתחבר אוטומטי למערכת.<body onload="document.redirectform.submit()"> <form method="POST" action="https://www.call2all.co.il/ym/login.php" name="redirectform" style="display:none"> <input name="user" value='מספר מערכת'> <input name="password" value='סיסמה'> </form> </body>
-
@פיסטוק-פרווה אפשרי אם לא שמת לב שאתה לוחץ שלח זה עובר לדף אתר ששם אוטו מטית נכנס לשדות הערכים ששלחת וגם אוטומטית נלחץ הלחצן שליחה
-
@kavkosher
עכשיו הבאתי לך קוד שאתה לא צריך אפילו ללחוץ, אם אתה רוצה שכן יוכלו ללחוץ תשים את הקוד הזה:<form method="POST" action="https://www.call2all.co.il/ym/login.php"> <input name="user" type="text"> <input name="password" type="password"> <input type="submit"> </form>
-
אני עשיתי
<?php $did=$_POST['did']; $password=$_POST['password']; ?> <html><body> <form action="https://www.call2all.co.il/ym/login.php" method="post" target=""><input type="hidden" name="user" value="<?php print "$did";?>"><input type="hidden" name="password" value="<?php print "$password";?>"><input type="submit" value="התחבר לאתר הניהול" class="main" id="main"></form> <script> document.getElementById("main").click()</script> </body></html>
מה יותר מאובטח?
-
דרך אגב הקוד שלך צריך להראות כך
<?php $password=$_POST['password']; $did=$_POST['did']; ?> <body onload="document.redirectform.submit()"> <form method="POST" action="https://www.call2all.co.il/ym/login.php" name="redirectform" style="display:none"> <input name="user" value='<?php print "$did";?>'> <input name="password" value='<?php print "$password";?>'> </form> </body>
כמובן צריך טופס שישלח את הערכים לדף
-
@kavkosher
זה אותו דבר, וסתם הוספת קוד מיותר, יכולת פשוט לשים ב form את הערך:method="POST"
כמו שאני עשיתי ובדף אליו יישלחו הנתונים תגדיר https://www.call2all.co.il/ym/login.php
באופצייה הראשונה, קודם הנתונים נשלחים אליך ואז לימות, כך שאתה גם יכול לשמור אותם לעצמך וזה פחות מאובטח, באופצייה השנייה הנתונים נשלחים ישר לימות...