Есть ли возможность получить доступ к элементам Ифрейма?

20.12.2010, 16:15

fl00der

Постоянный

Регистрация: 17.12.2008

Сообщений: 353

С нами: 9157119

Репутация: 74

Привет.

Допустим, есть панель управления, куда вводятся определенные данные, так вот, появилась идея создать злонамеренную страницу на стороннем сервисе, которая бы, при переходе на нее, присваивала определенные значение элементам формы на целевой странице и "нажимала" кнопку отправки (делаю на JS).

Сделал примерно так, как описано тут http://ir2.ru/otvety31.aspx (ищи по тексту "Как получить через Javascript доступ к документу, загруженному во фрейм?"). Однако в ФФ вообще не выполняется, а в IE пишет типа отказано в доступе.

То есть, сделать такое в разных доменах нельзя, или же есть способ обойти?

𝕏 Twitter Reddit Telegram Копировать ссылку

20.12.2010, 18:39

mr.The

Познавший АНТИЧАТ

Регистрация: 30.04.2007

Сообщений: 1,205

С нами: 10016425

Репутация: 1257

Если там нету никаких динамических полей и проверки реферера, то сделай на своей странице такие же скрытые поля, и сабмить их на нужный адресс javascript'ом.

Подробнее: гугли по тегу "csrf"

20.12.2010, 19:47

fl00der

Постоянный

Регистрация: 17.12.2008

Сообщений: 353

С нами: 9157119

Репутация: 74

Да там есть проверка, по кукисам и еще в одно из скрытых полей записывается некий хеш (ID пассворда или че-то, сырцев нет, так что четко сказать нельзя).

Я думал подкинуть страницу с ифреймом админу и тот перейдет, а оно сразу отправит запрос и назначит другого пользователя админом, но, походу, без XSS на сайте так нельзя, а то каждый дурак бы так мог.

Внести депозит

Депозит создан

Вывести депозит