-
PHP
(
http://www.devprotalk.com/forumdisplay.php?f=9)
moze jos jednu stvar napravit:
na prvom sajtu stavi link prema drugom, s tim da taj link prikazujes samo logiranim korisnicima. taj link neka ti vodi na skriptu login.php?user=blabla koja je na drugom serveru. na drugom serveru, u login proceduru (koja kod klasicnog logina provjerava username/pass unesenih kroz formu i ako su ispravni logira) dodaj da uvjet da se logira korisnika moze bit, pored klasicnog logina, i to da je dosao sa $_REFERER='drugi.sajt.com' i uzmi username s kojim je dosao (login.php?user=blabla)
posto je link na prvom sajtu prikazan samo logiranim userima, a referer je 'pouzdan', mozes korisnika na drugom sajtu logirat i bez login forme.
ovime izbjegnes da saljes pass kroz URL ili spremanje u hidden polja...
|
| misk0 |
09. 08. 2006. 15:30 |
Ovako:
- izmjenio sam login.php od phpbb da cita i POST i GET parametre (user i pass)
- phpBB vec ima redirekciju, kao "hidden - redirect" parametar, samo sam proshirio njegovo djelovanje van domena.
Radi . :)
|
| ivanhoe |
09. 08. 2006. 17:38 |
Citat:
Originalno napisao dee
moze jos jednu stvar napravit:
na prvom sajtu stavi link prema drugom, s tim da taj link prikazujes samo logiranim korisnicima. taj link neka ti vodi na skriptu login.php?user=blabla koja je na drugom serveru. na drugom serveru, u login proceduru (koja kod klasicnog logina provjerava username/pass unesenih kroz formu i ako su ispravni logira) dodaj da uvjet da se logira korisnika moze bit, pored klasicnog logina, i to da je dosao sa $_REFERER='drugi.sajt.com' i uzmi username s kojim je dosao (login.php?user=blabla)
posto je link na prvom sajtu prikazan samo logiranim userima, a referer je 'pouzdan', mozes korisnika na drugom sajtu logirat i bez login forme.
|
uu, mojne to... to ti je klasican backdoor na sajtu, samo jedan od usera treba da shvati mehanizam, i sledeci put moze da ti se uloguje direktno i anonimno, samo setuje referrera... raj za spammere... |
Jednostavno napise script kojim ce u hederu zahteva da izmeni refer po svojoj zelji ...
|
pa tako ga moze postavit i on sam i to tako da ga spammer ne pogodi?
mislim, najelegantnije rjesenje smo spominjali jos sa onim beaconima (jel se tako kaze? : ) )... ovo je sad sfera slanja sifre $_GETom i slicno...
PS.
kako se salju headeri na domena.com/sajt ?
kako se upakiraju i posalju na neku adresu i dobije rezultat natrag u browser?
|
| Sanja |
09. 08. 2006. 20:56 |
header?
header( 'Location:nesto.php');
to te zanima?malo mi mrsko sve citat :)
|
ma ne to :)
to je klasicna redirekcija, ali kako upakirat sve headere u request prema nekom ssajtu, a da to ne bude socketom nego da se rezultat vrati direkt u browser
|
| Sanja |
09. 08. 2006. 21:08 |
aaa.. ne znam :D
|
| Vreme je GMT +2. Trenutno vreme je 08:23. |
|
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.
Mišljenja, saveti, izjave, ponude ili druge informacije ili sadržaji nastali na Sajtu su vlasništvo onoga ko ih je kreirao, a ne DevProTalk.com, tako da ne morate da se oslanjate na njih.
Autori poruka su jedini odgovorni za ovakve sadržaje. DevProTalk.com ne garantuje tačnost, kompletnost ili upotrebnu vrednost informacija, stavova, saveta ili datih izjava. Ne postoje uslovi pod kojima bi mi bili odgovorni za štetu ili gubitak koji je posledica bilo čijeg oslanjanja na nepouzdane informacije, ili bilo kakve informacije nastale kroz komunikaciju između registrovanih članova.Web sajt može sadržavati linkove na druge web sajtove na Internetu ili neke druge sadržaje. Ne kontrolišemo niti podržavamo te druge web sajtove, niti smo pregledali bilo kakve sadržaje na takvim sajtovima. Mi nećemo biti odgovorni za legalnost, tačnost ili prikladnost bilo kog sadržaja, oglasa, proizvoda, usluga ili informacije lociranim na ili distribuiranih kroz druge web sajtove, niti za bilo kakvu štetu nastalu kao posledica takvih informacija. DevProTalk.com drži i čuva druga prava vlasništva na web sajtu. Web sajt sadrže materijale zaštićene copyright-om, zaštitne znakove i druge informacije o pravu vlasništva ili softver. Članovi mogu poslatu informacije zaštićene pravima vlasništva njihovih nosilaca i ona ostaju zaštićena bez obzira da li su oni koji prenose te informacije to naveli ili ne. Osim informacija koje su u javnom vlasništvu ili za koje dobijete dozvolu, nemate pravo da kopirate, modifikujete ili na bilo koji način menjate, objavljujete, prenosite, distribuirate, izvršavate, prikazujete ili prodajte bilo koju informaciju zaštićenu pravima vlasništva. Slanjem informacija ili sadržaja na bilo koji deo DevProTalk.com, Vi automatski dozvoljavate i predstavljate garanciju da imate pravo da dozvolite DevProTalk.com ili članovima DevProTalk.com bespovratnu, kontinualnu, neograničenu, globalnu dozvolu da koriste, kopiraju, izvršavaju, prikazuju i distribuiraju takve informacije i sadržaje i da iz takvih sadžaja koriste bilo koji deo u bilo koje svrhe, kao i pravo i dozvolu da koriste gore navedene sadržaje. Svi zaštitni znakovi (trademarks), logotipi, oznake usluga, firme ili imena proizvoda koji se pominju na ovom web sajtu su vlasništvo kojim raspolažu njihovi vlasnici.
