Правила     Закладки     Карма    Календарь    Журналы    Помощь    Поиск    PDA    Чат   
        СМС-ки
   
Пейджер выключен!
 
Фильтр авторов:    показать 
  скрыть
  Ответ в темуСоздание новой темыСоздание опроса

> Снятие блокировки с пользователя
Медведь  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 2482
Пользователь №: 37963
На форуме: 3 года, 4 месяца
Карма: 27




Есть сайт X, на нём есть такая возможность как, любому пользователю заблокировать другого пользователя (тогда отключается обмен сообщениями между ними).

Включается и отключается такая блокировка через ссылку, срабатывает script, отправкой запроса серверу с нужным кодом, код формируется на сервере, а посмотреть его можно в html коде.

Нужно чтобы пользователь Y меня разблокировал не зная про это. Допустим я подсуну этому пользователю ссылку на свой сайт, по которой он точно перейдёт. Осталось подгрузить страницу с сайта X и через script перейти по этой ссылке.

В плане реализации, как лучше сделать, чтобы получилось всё чисто, попытка только одна. (Знаю какие у вас мысли по этому поводу laugh.gif , но в итоге я на своём сайте буду делать защиту исходя из полученного опыта smile.gif )


--------------------

Заходил 29.09.2016
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Игорь_Vasinsky  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Лысый и злой
******

Профиль
Журнал
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 25994
Пользователь №: 21350
На форуме: 6 лет, 8 месяцев, 26 дней
Карма: 725

Не курю:
1 год, 2 месяца, 13 дней


генерировать токен при авторизации пользователся на сайте X используя, например хеш session_id() и хранить его (перезаписывая при каждой авторизации с привязкой по user_id)

в ссылке использовать этот токен и сверять. тем самым подтверждая, что операция проходит именно под авторизованным пользователем, а не где-то на левом ресурсе.


--------------------
Халявные ответы кончились.
Если нужен готовый код - готовьтесь заплатить.
Райкин тоже был артист

Возле дома был сарай
А когда всё хорошо
Можно просто покурить

user posted image
http://ufa102.xyz/
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
kaww  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 1755
Пользователь №: 20757
На форуме: 6 лет, 10 месяцев, 8 дней
Карма: 184




Медведь, гугли XSS.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Медведь  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 2482
Пользователь №: 37963
На форуме: 3 года, 4 месяца
Карма: 27




Цитата (Игорь_Vasinsky @ 22.06.2016 - 06:58)
генерировать токен при авторизации пользователся на сайте X используя, например хеш session_id() и хранить его (перезаписывая при каждой авторизации с привязкой по user_id)

в ссылке использовать этот токен и сверять. тем самым подтверждая, что операция проходит именно под авторизованным пользователем, а не где-то на левом ресурсе.

Это напоминает CSRF

В моём случае такая защита уже существует, может я мысль не правильно описал, ну не получается у меня это wink.gif

Например: Пользователь авторизован на сайте X, он переходит на сайт Y (ссылку на этот сайт отправлю я). Тут начинается самое интересное, т.к. мы не знаем сгенерированного кода -

На сайте Y подгружаем сайт X, script находит нужный блок, достаёт полный адрес ссылки (с защитным кодом) и отправляет пользователя по этому адресу.


--------------------

Заходил 29.09.2016
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Медведь  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 2482
Пользователь №: 37963
На форуме: 3 года, 4 месяца
Карма: 27




Такой вот код - мой сайт подгружается, а подопытный выдаёт белую страницу.

<frameset>
<frame
src="http://xxx">
</frameset>


--------------------

Заходил 29.09.2016
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
arbuzmaster  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Новичок
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 723
Пользователь №: 37872
На форуме: 3 года, 4 месяца, 15 дней
Карма: 21




На сколько я понимаю, то достать что либо из фрейма будет проблематично, так как по сути фрейм - другой сайт . Т.е. например если на своём сайте при помощи Javascript можно спокойно получить значение href из ссылки, то с фреймом такой номер не пройдет.


--------------------
PMПисьмо на e-mail пользователюСайт пользователя
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Медведь  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 2482
Пользователь №: 37963
На форуме: 3 года, 4 месяца
Карма: 27




Это чисто для примера, видел готовые варианты на Flash


--------------------

Заходил 29.09.2016
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:

Опции темы Ответ в темуСоздание новой темыСоздание опроса