не большой вопрос, возможно ли сделать фейк на одноклассники и/или контактах так чтобы после ввода лога и пасса юзер попадал на свою страницу отправив get запрос?

условие у него печеньки(cookie) стерты

Думаю что нет.

stivens20, не думай.
kalpak44, можно. Только зачем тебе GET? Отправляй POST. После ввода пользователем логина и пароля (в фейке) делай им csrf атаку с формой авторизации одноклашек.

Цитата:

Сообщение от M@ZAX@KEP

stivens20, не думай.
kalpak44, можно. Только зачем тебе GET? Отправляй POST. После ввода пользователем логина и пароля (в фейке) делай им csrf атаку с формой авторизации одноклашек.

круто, не ожидал ... а мож чучуть поподробней, хотя и на этом пасиб

Глянул, походу всё-таки не проканает там подсунуть csrf-форму пользователю после авторизации... рандомный token в атрибуте action формы. =(

жаль ... ничего, темку как я понял мож закрывать

Цитата:


Глянул, походу всё-таки не проканает там подсунуть csrf-форму пользователю после авторизации... рандомный token в атрибуте action формы. =(



Ну и что? Этот токен можно запросто спарсить регулярными выражениями, а потом с помощью php подсунуть в csrf форму. Таким образом, вся эта борода прекрасно обходится. Самого заинтересовало это, решил попробовать на своем фейке одноклассников, тот токен, который используется при проверке на валидность просто подставляю в csrf форму, все прекрасно работает - после кражи верного пароля влетает прямо в аккаунт) Так что все работает, убедился собтсвенными глазами только что.

Nick Hander, ты спарсишь его запросом с сервера? Хорошо, только юзеру поставят уже другой токен, не тот что твоему серверу с фейком. Токен назначается по сессии. Разные машины - разные сессии, разные токены. Иначе начерта бы они были нужны?

Nick Hander, ты спарсишь его запросом с сервера? Хорошо, только юзеру поставят уже другой токен, не тот что твоему серверу с фейком. Токен назначается по сессии. Разные машины - разные сессии, разные токены. Иначе начерта бы они были нужны?
Ты это у разработчиков одноклассников спроси. Я тебе говорю по факту, в теории то это так, но на практике я путем эксперимента и подстановки спарсенного токена без проблем залетаю в аккаунт, хотя до этого специально выходил с аккаунта на настоящем сайте. Так что видимо там токены криво и не по назначению работают.

Ник, спасибо, буду иметь ввиду))
Видимо, ТС, стоит проверить этот способ в таком случае