HOME    FORUMS    MEMBERS    RECENT POSTS    LOG IN  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
Перезагрузить страницу Есть ли возможность получить доступ к элементам Ифрейма?
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 20.12.2010, 16:15
fl00der
Постоянный
Регистрация: 17.12.2008
Сообщений: 353
Провел на форуме:
919131

Репутация: 74
По умолчанию
Привет.

Допустим, есть панель управления, куда вводятся определенные данные, так вот, появилась идея создать злонамеренную страницу на стороннем сервисе, которая бы, при переходе на нее, присваивала определенные значение элементам формы на целевой странице и "нажимала" кнопку отправки (делаю на JS).

Сделал примерно так, как описано тут http://ir2.ru/otvety31.aspx (ищи по тексту "Как получить через Javascript доступ к документу, загруженному во фрейм?"). Однако в ФФ вообще не выполняется, а в IE пишет типа отказано в доступе.

То есть, сделать такое в разных доменах нельзя, или же есть способ обойти?
 
Ответить с цитированием

  #2  
Старый 20.12.2010, 18:39
mr.The
Познавший АНТИЧАТ
Регистрация: 30.04.2007
Сообщений: 1,206
Провел на форуме:
4778940

Репутация: 1257


Отправить сообщение для mr.The с помощью ICQ
По умолчанию
Если там нету никаких динамических полей и проверки реферера, то сделай на своей странице такие же скрытые поля, и сабмить их на нужный адресс javascript'ом.

Подробнее: гугли по тегу "csrf"
 
Ответить с цитированием

  #3  
Старый 20.12.2010, 19:47
fl00der
Постоянный
Регистрация: 17.12.2008
Сообщений: 353
Провел на форуме:
919131

Репутация: 74
По умолчанию
Да там есть проверка, по кукисам и еще в одно из скрытых полей записывается некий хеш (ID пассворда или че-то, сырцев нет, так что четко сказать нельзя).

Я думал подкинуть страницу с ифреймом админу и тот перейдет, а оно сразу отправит запрос и назначит другого пользователя админом, но, походу, без XSS на сайте так нельзя, а то каждый дурак бы так мог.
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ