|
หัวข้อ: ส่งค่า SESSION จาก เครื่องตัวเอง ไปยังเว็บไซต์ ยังไงค่า เริ่มหัวข้อโดย: Nato_One ที่ 26 มีนาคม 2014, 01:04:17 ส่งค่า SESSION จาก เครื่องตัวเอง ไปยังเว็บไซต์ ยังไงค่า
คือ ตอนนี้ถ้าใน website ไม่มีการ login มาจะไม่ผ่านเป็นการเก็บค่าแบบ SESSION แต่คราวนี้ลองส่ง link จากที่เคื่องไปที่ web แล้ว ไม่ผ่านค่ะ ไม่ทราบว่าพอมีวิธีการไหมค่ะว่าจะทำอย่างไรค่ะ หัวข้อ: Re: ส่งค่า SESSION จาก เครื่องตัวเอง ไปยังเว็บไซต์ ยังไงค่า เริ่มหัวข้อโดย: sbaydee ที่ 26 มีนาคม 2014, 10:34:23 :P งงกับคำถามครับ ขยายความให้เห็นภาพอีกหน่อยครับ
หัวข้อ: Re: ส่งค่า SESSION จาก เครื่องตัวเอง ไปยังเว็บไซต์ ยังไงค่า เริ่มหัวข้อโดย: ยิ้มโค้ด.คอม ที่ 26 มีนาคม 2014, 10:56:52 SESSION มันส่งค่าข้ามเครื่องหรือข้ามโดเมนไม่ได้นิครับ
หัวข้อ: Re: ส่งค่า SESSION จาก เครื่องตัวเอง ไปยังเว็บไซต์ ยังไงค่า เริ่มหัวข้อโดย: mikeyx ที่ 26 มีนาคม 2014, 11:07:08 ทำไม่ได้ครับ
เรื่องความปลอดภัยเลยนะนั้น หัวข้อ: Re: ส่งค่า SESSION จาก เครื่องตัวเอง ไปยังเว็บไซต์ ยังไงค่า เริ่มหัวข้อโดย: jubpas ที่ 26 มีนาคม 2014, 11:30:12 คือพยามจะเอาค่า Session จากอีกเครื่อง มาใช้อีกเครื่องแน่เลย เข้าใจถูกอ่ะป่าว :P
มันเรื่องความปลอยภัยเลยนะครับนั่น โดยปกติแล้วไม่ได้ครับ จะเอาให้ได้คุณต้อง Hack ละครับ (คุณต้องเก็บรายละเอียด response ที่ได้รับจาก server เครื่องที่เข้าได้ให้หมด ) และส่งผ่าน Fake Http Request ประมาณนี้ ศึกษาต่อเองนะครับผมก็รู้แค่นี้แหละ^^ หัวข้อ: Re: ส่งค่า SESSION จาก เครื่องตัวเอง ไปยังเว็บไซต์ ยังไงค่า เริ่มหัวข้อโดย: dekdoo ที่ 26 มีนาคม 2014, 12:32:27 กะจะ hack session ล่ะสิ (เครื่องผู้ใช้ ยิงไป server)
ถ้าทำได้ผมก็อยากรู้เหมือนกัน หัวข้อ: Re: ส่งค่า SESSION จาก เครื่องตัวเอง ไปยังเว็บไซต์ ยังไงค่า เริ่มหัวข้อโดย: gsonic ที่ 26 มีนาคม 2014, 13:28:19 ใช้ OAuth 2 แทนครับ
เหมือนกับที่ graph.facebook.com ใช้หรือ api ของเจ้าใหญ่ๆใช้นะครับ authen โดยใช้ token ที่มีวันหมดอายุเอาแทนครับ หัวข้อ: Re: ส่งค่า SESSION จาก เครื่องตัวเอง ไปยังเว็บไซต์ ยังไงค่า เริ่มหัวข้อโดย: ballalistit ที่ 26 มีนาคม 2014, 13:38:01 ส่งข้าม domain ไม่ได้แน่นอนครับ อีกเสียง ถ้าต้องการใช้พวก facebook login หรือ อะไรก็แล้วแต่ให้ลองใช้ api ของแต่ละเจ้าดูครับ หรือถ้าอยากได้เยอะ ๆ hybridauth ช่วยท่านได้
หัวข้อ: Re: ส่งค่า SESSION จาก เครื่องตัวเอง ไปยังเว็บไซต์ ยังไงค่า เริ่มหัวข้อโดย: Nato_One ที่ 27 มีนาคม 2014, 12:00:50 ไม่ได้แฮกระบบค่ะ เครื่องเดียวกันค่ะ จะส่งข้อมูลโดยที่ไม่ต้อง login อีกรอบค่ะ พอจะมีวิธีไหมค่ะ
หัวข้อ: Re: ส่งค่า SESSION จาก เครื่องตัวเอง ไปยังเว็บไซต์ ยังไงค่า เริ่มหัวข้อโดย: ยิ้มโค้ด.คอม ที่ 27 มีนาคม 2014, 12:05:30 ไม่ได้แฮกระบบค่ะ เครื่องเดียวกันค่ะ จะส่งข้อมูลโดยที่ไม่ต้อง login อีกรอบค่ะ พอจะมีวิธีไหมค่ะ ผมอ่านในกระทู้เหมือนไม่ใช่เครื่องเดียวกันหรือเปล่าครับ อ้างถึง เครื่องตัวเอง ไปยังเว็บไซต์ เครื่องตัวเอง = เครื่องคอมที่บ้านซึ่งใช้ localhost เว็บไซต์ = เครื่องเซิรฟ์เวอร์ที่อยู่บนเครื่อข่ายอินเตอร์เน็ต ถ้าเข้าใจไม่ผิดก็ไม่ได้ครับ แต่ถ้าเข้าใจผิดก็ขออภัยด้วยล่ะกันครับ หัวข้อ: Re: ส่งค่า SESSION จาก เครื่องตัวเอง ไปยังเว็บไซต์ ยังไงค่า เริ่มหัวข้อโดย: antimage3114 ที่ 27 มีนาคม 2014, 12:09:32 :wanwan004:
หัวข้อ: Re: ส่งค่า SESSION จาก เครื่องตัวเอง ไปยังเว็บไซต์ ยังไงค่า เริ่มหัวข้อโดย: Nato_One ที่ 27 มีนาคม 2014, 12:40:05 ไม่ได้แฮกระบบค่ะ เครื่องเดียวกันค่ะ จะส่งข้อมูลโดยที่ไม่ต้อง login อีกรอบค่ะ พอจะมีวิธีไหมค่ะ ผมอ่านในกระทู้เหมือนไม่ใช่เครื่องเดียวกันหรือเปล่าครับ อ้างถึง เครื่องตัวเอง ไปยังเว็บไซต์ เครื่องตัวเอง = เครื่องคอมที่บ้านซึ่งใช้ localhost เว็บไซต์ = เครื่องเซิรฟ์เวอร์ที่อยู่บนเครื่อข่ายอินเตอร์เน็ต ถ้าเข้าใจไม่ผิดก็ไม่ได้ครับ แต่ถ้าเข้าใจผิดก็ขออภัยด้วยล่ะกันครับ ใช่แล้วค่ะ สามารถทำได้หรือป่าวค่ะ หัวข้อ: Re: ส่งค่า SESSION จาก เครื่องตัวเอง ไปยังเว็บไซต์ ยังไงค่า เริ่มหัวข้อโดย: sbaydee ที่ 27 มีนาคม 2014, 18:28:24 ไม่ได้แฮกระบบค่ะ เครื่องเดียวกันค่ะ จะส่งข้อมูลโดยที่ไม่ต้อง login อีกรอบค่ะ พอจะมีวิธีไหมค่ะ ผมอ่านในกระทู้เหมือนไม่ใช่เครื่องเดียวกันหรือเปล่าครับ อ้างถึง เครื่องตัวเอง ไปยังเว็บไซต์ เครื่องตัวเอง = เครื่องคอมที่บ้านซึ่งใช้ localhost เว็บไซต์ = เครื่องเซิรฟ์เวอร์ที่อยู่บนเครื่อข่ายอินเตอร์เน็ต ถ้าเข้าใจไม่ผิดก็ไม่ได้ครับ แต่ถ้าเข้าใจผิดก็ขออภัยด้วยล่ะกันครับ ใช่แล้วค่ะ สามารถทำได้หรือป่าวค่ะ แต่มีอีกวิธีคือใช้ cookie ในการส่งค่าเอาแล้วก็กำหนด โดเมนให้กับ Cookie หรือไม่ก็ใช้ token สร้างรหัสสำหรับ auth ทั้ง 2 ฝ่ายและกำหมดให้มันสุ่มใหม่ทุกครั้ง อันนี้วุ่นวายไปศึกษาเองครับ แนะนำได้เท่านี้ หัวข้อ: Re: ส่งค่า SESSION จาก เครื่องตัวเอง ไปยังเว็บไซต์ ยังไงค่า เริ่มหัวข้อโดย: goldxp ที่ 27 มีนาคม 2014, 19:21:09 ที่เครื่องส่วนตัว
สร้างไฟล์ send-session.php <?php session_start(); ?> <form action="hxxp://www.realwebsite.com/clone-session.php" method="post"> <input type="hidden" name="data" value="<?php echo htmlspecialchars(convert_uuencode(serialize($_SESSION)));?>" /> <input type="submit"/> </form> ที่เว็บไซต์จริงก็สร้างไฟล์มารับข้อมูล clone-session.php <?php session_start(); $_SESSION = unserialize(convert_uudecode($_POST['data'])); ?> แค่เข้ารหัส session และส่งไปเว็บจริงและถอดรหัสกลับมาเหมือนเดิมครับ ปล. โค้ดนี้ไม่มี security นะครับ ถ้าคนรู้ชื่อไฟล์โปรแกรมนี้ก็โดน hack ได้ทันทีนะครับ หัวข้อ: Re: ส่งค่า SESSION จาก เครื่องตัวเอง ไปยังเว็บไซต์ ยังไงค่า เริ่มหัวข้อโดย: Nato_One ที่ 29 มีนาคม 2014, 22:51:43 ได้แล้วค่ะ คือ ส่ง Username ไปหน้า loging ก่อนเพื่อตรวจสอบ แล้วจึงผ่านไปยังหน้าที่ต้องการ ค่ะ ไม่รู้ว่าแบบนี้ security ไหมค่ะ
|