 |
17.05.2012, 01:00
|
|
Новичок
Регистрация: 09.07.2010
Сообщений: 21
С нами:
8338646
Репутация:
0
|
|
не большой вопрос, возможно ли сделать фейк на одноклассники и/или контактах так чтобы после ввода лога и пасса юзер попадал на свою страницу отправив get запрос?
условие у него печеньки(cookie) стерты
|
|
|
17.05.2012, 01:00
|
|
Постоянный
Регистрация: 14.12.2011
Сообщений: 310
С нами:
7585526
Репутация:
2
|
|
Думаю что нет.
|
|
|
|
17.05.2012, 01:00
|
|
Участник форума
Регистрация: 11.06.2009
Сообщений: 159
С нами:
8903558
Репутация:
60
|
|
stivens20, не думай.
kalpak44, можно. Только зачем тебе GET? Отправляй POST. После ввода пользователем логина и пароля (в фейке) делай им csrf атаку с формой авторизации одноклашек.
|
|
|
|
18.05.2012, 01:00
|
|
Новичок
Регистрация: 09.07.2010
Сообщений: 21
С нами:
8338646
Репутация:
0
|
|
Цитата:
Сообщение от M@ZAX@KEP
stivens20, не думай.
kalpak44, можно. Только зачем тебе GET? Отправляй POST. После ввода пользователем логина и пароля (в фейке) делай им csrf атаку с формой авторизации одноклашек.
круто, не ожидал ... а мож чучуть поподробней, хотя и на этом пасиб
|
|
|
|
19.05.2012, 01:00
|
|
Участник форума
Регистрация: 11.06.2009
Сообщений: 159
С нами:
8903558
Репутация:
60
|
|
Глянул, походу всё-таки не проканает там подсунуть csrf-форму пользователю после авторизации... рандомный token в атрибуте action формы. =(
|
|
|
|
21.05.2012, 01:00
|
|
Новичок
Регистрация: 09.07.2010
Сообщений: 21
С нами:
8338646
Репутация:
0
|
|
жаль ... ничего, темку как я понял мож закрывать
|
|
|
|
21.05.2012, 01:00
|
|
Познавший АНТИЧАТ
Регистрация: 30.03.2010
Сообщений: 1,068
С нами:
8484086
Репутация:
335
|
|
Цитата:
Глянул, походу всё-таки не проканает там подсунуть csrf-форму пользователю после авторизации... рандомный token в атрибуте action формы. =(
Ну и что? Этот токен можно запросто спарсить регулярными выражениями, а потом с помощью php подсунуть в csrf форму. Таким образом, вся эта борода прекрасно обходится. Самого заинтересовало это, решил попробовать на своем фейке одноклассников, тот токен, который используется при проверке на валидность просто подставляю в csrf форму, все прекрасно работает - после кражи верного пароля влетает прямо в аккаунт) Так что все работает, убедился собтсвенными глазами только что.
|
|
|
|
21.05.2012, 01:00
|
|
Участник форума
Регистрация: 11.06.2009
Сообщений: 159
С нами:
8903558
Репутация:
60
|
|
Nick Hander, ты спарсишь его запросом с сервера? Хорошо, только юзеру поставят уже другой токен, не тот что твоему серверу с фейком. Токен назначается по сессии. Разные машины - разные сессии, разные токены. Иначе начерта бы они были нужны?
|
|
|
|
21.05.2012, 01:00
|
|
Познавший АНТИЧАТ
Регистрация: 30.03.2010
Сообщений: 1,068
С нами:
8484086
Репутация:
335
|
|
Nick Hander, ты спарсишь его запросом с сервера? Хорошо, только юзеру поставят уже другой токен, не тот что твоему серверу с фейком. Токен назначается по сессии. Разные машины - разные сессии, разные токены. Иначе начерта бы они были нужны?
Ты это у разработчиков одноклассников спроси. Я тебе говорю по факту, в теории то это так, но на практике я путем эксперимента и подстановки спарсенного токена без проблем залетаю в аккаунт, хотя до этого специально выходил с аккаунта на настоящем сайте. Так что видимо там токены криво и не по назначению работают.
|
|
|
|
23.05.2012, 01:00
|
|
Участник форума
Регистрация: 11.06.2009
Сообщений: 159
С нами:
8903558
Репутация:
60
|
|
Ник, спасибо, буду иметь ввиду))
Видимо, ТС, стоит проверить этот способ в таком случае
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
