|
08. 08. 2006. | #1 |
majstor
Wrote a book
|
To je logovanje na phpbb. Sad, jedino mi preostaje (ukoliko ne nadjem neko rjesenje) da promjenim u login.php da umjesto $_POST koristi $_GET i da mu onda napakujem sve to u url i preusmjerim ga tako..
A zar ne mogu sa header (koji koliko kontam ide browseru) da ga nafilujem podacima kao da zeli submitovati formu i da on takav ode na login.php i odradi to sto treba? |
08. 08. 2006. | #2 | ||
Domagoj Horvat
Expert
|
Citat:
nece ti nista pomoc bilo da je $_GET bilo $_POST nije stvar u tome da login.php ne dobije podatke koje mu posaljes, vec sta on moze napravit s njima? npr. phpbb inace: - korisnik upise login/username i klik na submit - login.php skripta koja se nalazi www.domena.com na kojoj je phpbb postavljen prihvati podatke, pogleda jesu li ispravni i ako jesu posalje nazad browseru cookie. kad pogledas u cookie fajlove, vidjet ces da se cookie zove npr. www.domena.com pa u njemu podaci. taj cookie, tog imena, moze postavit samo ta domena, nijedna druga (dakle niti tvoja skripta kojom ti socket-om saljes $_POST; oni dodju i ispravni su, ali posto ti je skripta na www.drugadomena.com ona moze postavit samo cookie www.drugadomena.com) pri slijedecem korisnickom requestu prema www.domena.com/phpbb browser salje sve cookije vezane uz tu domenu, znaci 'www.domena.com' cookies, server provjeri ima li unutra 'korisnik logiran' i ako ima, po tome zna da je covjek -> logged in. posto korisnik nijednom nije direktno zahtijevao nista od www.domena.com servera -> nema cookija -> nema logiranja radi toga, moras nekako osigurat direktan zahtjev korisnika prema www.domena.com serveru. to je ono na drugom topicu sta smo pricali. Citat:
__________________
postoje ludosti bez kojih je nemoguce ljudsko dostojanstvo Poslednja izmena od dee : 08. 08. 2006. u 16:13. |
||
08. 08. 2006. | #3 | |
majstor
Wrote a book
|
Citat:
|
|
08. 08. 2006. | #4 | |
Domagoj Horvat
Expert
|
Citat:
__________________
postoje ludosti bez kojih je nemoguce ljudsko dostojanstvo |
|
08. 08. 2006. | #5 |
Ivan Dilber
Sir Write-a-Lot
|
treba ti drugacije resenje, na phpBB strani... ova tvoja skripta treba samo da posalje korisnika i da prosledi obicnim GET-om username & pass, a onda tamo treba da se odradi logovanje koje ce odmah da uradi redirect na sledecu stranu i tako sakrije kriticne podatke iz url-a...
__________________
Leadership is the art of getting people to want to do what you know must be done. |
09. 08. 2006. | #6 |
Domagoj Horvat
Expert
|
moze jos jednu stvar napravit:
na prvom sajtu stavi link prema drugom, s tim da taj link prikazujes samo logiranim korisnicima. taj link neka ti vodi na skriptu login.php?user=blabla koja je na drugom serveru. na drugom serveru, u login proceduru (koja kod klasicnog logina provjerava username/pass unesenih kroz formu i ako su ispravni logira) dodaj da uvjet da se logira korisnika moze bit, pored klasicnog logina, i to da je dosao sa $_REFERER='drugi.sajt.com' i uzmi username s kojim je dosao (login.php?user=blabla) posto je link na prvom sajtu prikazan samo logiranim userima, a referer je 'pouzdan', mozes korisnika na drugom sajtu logirat i bez login forme. ovime izbjegnes da saljes pass kroz URL ili spremanje u hidden polja...
__________________
postoje ludosti bez kojih je nemoguce ljudsko dostojanstvo |
09. 08. 2006. | #7 |
majstor
Wrote a book
|
Ovako:
- izmjenio sam login.php od phpbb da cita i POST i GET parametre (user i pass) - phpBB vec ima redirekciju, kao "hidden - redirect" parametar, samo sam proshirio njegovo djelovanje van domena. Radi . |
09. 08. 2006. | #8 | |
Ivan Dilber
Sir Write-a-Lot
|
Citat:
uu, mojne to... to ti je klasican backdoor na sajtu, samo jedan od usera treba da shvati mehanizam, i sledeci put moze da ti se uloguje direktno i anonimno, samo setuje referrera... raj za spammere...
__________________
Leadership is the art of getting people to want to do what you know must be done. |
|
|
|
Slične teme | ||||
Tema | Početna poruka teme | Forum | Odgovori | Poslednja poruka |
amiga workbench "simulacija" u javascriptu | ivanhoe | Opušteno | 2 | 02. 03. 2007. 09:29 |
Pay Per Post servis | zokiii | Marketing i SEO | 24 | 13. 01. 2007. 02:38 |
prenosenje pomocu get metode | oliver78 | PHP | 16 | 30. 11. 2005. 20:09 |