INPUT mező feltöltése programmal

Programozás - kezdő

Üdv!

Lenne egy Html kérdés:

Van egy HTML oldal egy INPUT mezővel.
A célom hogy ezt a mezőt egy programból adattal feltölteni.
Hogyan lehet megcsinálni?
Cookie -ban le kellene tárolnom azokat az adatokat amit át akarok adni a mezőnek és átadni az INPUT-nak?

ÜDV:Gábor

  • 1299 megtekintés

( lx | 2018. 06. 21., cs – 12:43 )

Milyen céllal, milyen programból?

Valószínűleg a legegyszerűbb shell szkriptben felparaméterezni a wget programot; szofisztikáltabb valamilyen nyelvben használatba venni a seleniumot.
DE: minden _attól függ_.

Ha a CGI program szar. Régen voltak olyan weblapok, ahol pl. a < és > jeleket nem alakította át a CGI. Így például meg lehetett csinálni, hogy akár egy javaszkripetet átadtál a szervernek, amit ő annak rendje és módja szerint a CGI kimenet részeként értelmez, avagy a kimeneti html-ben kódként ágyazódik be.

Példa egy html kód beágyazásra. Egy mezei kérdőív:

Add meg a nevedet! [

 <a href="//hup.hu/"><img src="/images/powered/hup_main.png" alt="" border="0"></a>

]

Az eredménye ez lesz pl.:

A neved: [ ]

( Nyosigomboc v | 2018. 06. 21., cs – 13:22 )

Ha egyszeru automatizalasrol van szo, a curl-t/libcurl-t ajanlom. Elobbi megy parancssorbol, utobbi meg mindenfele script meg forditott nyelvbol.

Az XSS tamadas teljesen mas teszta. Ott arrol van szo, hogy - ha nincs megfeleloen vedve egy input mezo, es az megjelenik valahogy a html kodban, oda javascriptet is be tudsz szurni, ami lefut masoknal, onnantol meg elkotheted a bongeszojet, lophatsz cookie-t, betolthetsz oldalakat a neveben, stb.
Pl. a hup-on beszurhatsz html kodokat a hozzaszolasodba (<akarmi>), ha script blokkot is lehetne (nem szurne az oldal), akkor betehetnek egy JS kodot, ami mindenkinel lefut, aki megnyitja ezt a topicot. Onnantol nyertem (jo, van same origin policy, de nagyjabol jo vagyok).

--
If you get a good wife, you'll become happy; if you get a bad one, you'll become a philosopher. -Socrates

Pl. ha az input mezőn ül egy függvény, ami valamilyen beviteli eseményre indít egy JS eval()t az addig bevitt szöveg elemzésének szándékával, akkor nem kell semmit átírnod a forráson, hiszen kaptál egy "shellt" az eval() képében, és csak a lelkiismereteden áll, hogy mire használod.

Ha az oldal forraskodja alatt azt a PHP/Node.js/Java/C# kodot erted, ami a HTML-t legeneralja neked, akkor azt - ehhez - nem kell.
A HTML-t ugy is tudod "modositani", hogy az elozo PHP/stb. inputjat modositod. Pl. egy forum eseten bekuldesz egy hozzaszolast, az bekerul egy adatbazisba, es amikor a HTML legeneralodik (meglatogatja az aldozat az adott oldalt), akkor az igy "megfertozott" DB-bol kapja az adatot.

Ha nem ennyire permanens megoldasra gondolsz, akkor akar egy GET kerest parameterezel fel megfeleloen, es iranyitod oda a - ha mazlid van, bejelentkezett - tamadot. Pl. http://facebook/jelszoemlekezteto.php?tamadhato_mezo=<script>alert();</…;
Igy cookie-t mar el tudsz lopni, ha a tamadhatoo_mezo-t nem keszitettek fel erre. (a linkroviditok meg segitenek elrejteni a felettebb gyanus linket, amit aztan elkuldhetsz az aldozatnak)

--
If you get a good wife, you'll become happy; if you get a bad one, you'll become a philosopher. -Socrates

Ha eletedben legalabb egyszer fejlesztettel webre, nem art, ha tisztaban vagy ilyesmikkel. (mondjuk engem ettol fuggetlenul erdekel a tema)

Volt egy eloadas, hupra linkelte valaki, az eloado egy sql injection es - talan - xss tamadast csinalt egy erre preparalt weboldalon kali linux alol. Ha jol tudsz keresni, megtalalhatod.

--
If you get a good wife, you'll become happy; if you get a bad one, you'll become a philosopher. -Socrates