Mail.ruПочтаМой МирОдноклассникиВКонтактеИгрыЗнакомстваНовостиКалендарьОблакоЗаметкиВсе проекты
Категории Все вопросы проекта Компьютеры, Интернет Темы для взрослых Авто, Мото Красота и Здоровье Товары и Услуги Бизнес, Финансы Наука, Техника, Языки Философия, Непознанное Города и Страны Образование Фотография, Видеосъемка Гороскопы, Магия, Гадания Общество, Политика, СМИ Юридическая консультация Досуг, Развлечения Путешествия, Туризм Юмор Еда, Кулинария Работа, Карьера О проектах Mail.ru Животные, Растения Семья, Дом, Дети Другое Знакомства, Любовь, Отношения Спорт Золотой фонд Искусство и Культура Стиль, Мода, Звезды Полный список Спросить Лидеры
Поиск по вопросам

Небольшой взлом php странички...

lopato Профи (927), закрыт 7 лет назад
Есть сайт, https://post-hardcore.ru/ . Для регистрации нужен пригласительный КЛЮЧ, его нету. Открыл посмотреть исходный код, нашел функцию который проверяет сам КЛЮЧ. Вот скрипт:
function invite(){
document.getElementById("inverror").style.display = 'none';
var c=document.getElementById("code").value;
$.ajax({
type: 'POST',
url: '/invite.php',
data: 'action=invite&code='+c,
success: function(data){
if (data == 'success')
window.location.reload(true);
else
window.location.reload(true);

}
});
}

Возможно достать этот КЛЮЧ? type: 'POST',url: '/invite.php'. Инвайт. php...
Лучший ответ
flarid farukshin Мастер (1053) 7 лет назад
просканируй с помощью WebCruiser,Acunetix WVS 8
Артём СоколовскйМастер (1175) 7 лет назад
Не пали контору :-)
Керим АбубакаровМастер (1339) 7 лет назад
Acunetix 10 вышел давно
Остальные ответы
Адам Петров Профи (553) 7 лет назад
нет
Dr. Dick Оракул (51889) 7 лет назад
Во-первых, это не пхп, а жаваскрипт. Данный кусок кода всего лишь отправляет ключ на проверку серверу. Так что, узнать ничего не получится
Denwer Lollipop Мастер (1963) 7 лет назад
Именно этот кусок вам не поможет, но посидите поищите еще. Наговнокожено там неслабо, может и в безопасности дыры есть.
Саня Семенов Оракул (60424) 7 лет назад
if (data == 'success')
window.location.reload(true);
else
window.location.reload(true);

}
Вопрос: нахрена тогда слать success в data?
Очевидно ключ не только проверяется но и сохраняется на сервере
Как достать? Залить shell - и распечатать сессию
Как залить ? -это 272 ст УК РФ )))
Прим ПалверМыслитель (6850) 7 лет назад
Наверное, так они предотвращают повторную отправку данных при F5 ))
Ирэн Ницше Искусственный Интеллект (213135) 7 лет назад
Джаваскрипты ВСЕГДА легко доступны просмотру и это не взлом.
Ключ отсюда вы не получите, если вы понимаете, что такое джаваскрипт.
Он работает ТОЛЬКО в вашем браузере + отправляет ключ на сервер, причем только тот, который ввели вы сами.
Άηϑρέΰ ҂ Искусственный Интеллект (179793) 7 лет назад
как вариант написать скрипт, который будет отсылать сгенерированный код (если знаете формат), возможно и угадаете
Ксения Владыкина Знаток (264) 7 лет назад
нет
RomkiN Знаток (464) 7 лет назад
272 ст УК РФ, я раньше тоже баловался, но сейчас утих)
jjhjhjh jhjhjhjhjh Ученик (85) 7 лет назад
///
Керим Абубакаров Мастер (1339) 7 лет назад
Могу потестировать сайт, но не тут явно, а в лс -

vk.com/reworr
Алексей Милюта Ученик (176) 7 лет назад
можно
Похожие вопросы