انجمنهای فارسی اوبونتو
کمک و پشتیبانی => انجمن عمومی => نویسنده: tempel در 04 تیر 1400، 12:01 قظ
-
سلام فرض کنید یک فرم داریم با چندین چک باکس و رادیوباتن و... که مقادیرشان وقتی سایت رو باز میکنیم سِت شده اند وقابل تغییر نیستند(یعنی disabled هستند). ماکاربرعادی وبسایت هستیم. اگر بخواهیم مقادیر سِت شده را تغییر دهیم و سمت سرور بفرستیم تا داده های فرم کلا تغییر یابند باید چه کارکرد یا ازچه تست نفوذی میشه استفاده کرد؟
-
سلام
بستگی به منطق کدهای back-end دارد.
-
برای نفوذ کسی ازقبل منطق دقیق کدهای back-end رو ممکن هست ندونه. فقط با فرض اینکه با PHPوMYSQL نوشته شده چطور میتوان یک نقشه راه برای تغییر مقادیر(درپست اول) ترسیم کرد؟
-
باید بستهای رو که به سرور ارسال میشه بررسی کنید ، ابزارهایی برای مانیتور و ویرایش بستهها هستن ، فک کنم جادی توی ویدئویی که با یه سایت دلیوری صبحانه شوخی کرد یکیشون و توضیح داد ،
اگر هم بسته رمزنگاری نیست و مستقیم اطلاعات رو از کدهای HTML میخونه که میتونید با اینسپکتور مرورگر مقادیر و تغییر بدید و دکمه ارسال رو بزنید!
-
برای نفوذ کسی ازقبل منطق دقیق کدهای back-end رو ممکن هست ندونه. فقط با فرض اینکه با PHPوMYSQL نوشته شده چطور میتوان یک نقشه راه برای تغییر مقادیر(درپست اول) ترسیم کرد؟
راه اول: در فایرفاکس ctrl+shift+c و پاک کردن عبارت disabled و تغییر و سپس ارسال درخواست.
راه دوم: داشتن یک نمونه request data از وقتی اطلاعات ثبت شده و ارسال اون به مقصدی که نیاز هست.
و ...
-
در inspector بعداز ایجاد تغییرات چطور درخواست رو ارسال کنم؟ آیا دکمه ای برای ارسال درخواست در inspector هست(چون چیزی نمیبینم)؟
-
خوب دکمه ارسالی که تو صفحه که بازکردید رو باید بزنید.
-
این قسمت inspector هست میشه راهنمایی کنید دکمه ارسال کجاست؟
-
دکمه ارسالی که در صفحه ای که باز کردید.
منظورم خود صفحه هست، نه inspector.
-
اگه منظورتون دکمه submit هست که داده هارو ارسال کند، دکمه submitی در صفحه وجود ندارد. فقط یه سری رادیو باتن هست که میخوام select کنم و مقاددیرشون رو کلا تغییر بدم. تا هرکسی صفحه رو باز کرد با مقادیری که تغییر دادم روبرو شود.
-
خوب این کار شدنی نیست. شما هرچقدر هم این صفحه رو تغییر بدید فقط برای خودتون تغییر میکنه و این تغییرات به سرور ارسال نمیشه.
همونطوری که گفتید دکمه سابمیت نداره. پس احتمالا سمت سرور پردازشی روی تغییرات و فرم ارسالی شما صورت نمیگیره.
چه صفحه ای رو میخواید ویرایش کنید؟ آدرسش کجاست؟
زبان سمت سرورتون چیه؟ php؟
هدفتون از این تغییرات چیه؟ میخوایید که تغییراتی که شما روی فرم در کامپیوترتون ایجاد کردید به سرور فرستاده بشه و بقیه کاربر ها هم وقتی به اون آدرس میرن تغیرات شمارو ببینن؟
به هاست اون آدرس دسترسی دارید؟ یعنی اون آدرس و دامنه برای شماست یا نه؟
-
زبانش PHP/MySQL هست.
بله میخواهم تغییراتی رو که ایجاد میکنم سمت سرور فرستاده بشه و بقیه کاربرهاهم این تغییرات رو ببیند.
هاست و دامنه برای من نیست. فقط ازطریق خطاهای وبسایت نام تیبلی رو که مربوط به اطلاعات این رادیوباتن هاست رو دارم.
و چندتا فایل اسکریپتیjs هستن که از تب Network کپی کردم وبه postman بردم ولی هنوز نتیجه ای حاصل نشده.
-
چطور میتوان در ترمینال(Bash) به یک سایت لاگین کرد با دستور زیر یوزرو و پسورد رو وارد میکنم ولی لاگین نمیشه :
curl --data "username=xx&password=xx&login=login" MyWebsiteURL
و درهمین حالت لاگین درترمینال باقی ماند چون میخوام درصفحاتی(که نیاز به لاگین دارند) از sqlmap استفاده کنم.
-
پیشنهاد من اینه ابتدا PHP و MySQL رو یاد بگیرید. یادگیری اینها احتمالا بهترین شروع باشه و احتمالا جواب سوالهاتون هم بده.
-
این سوأل بیشتر درمورد انتخاب روش/جزییات برای تست نفوذ هست.قطعا PHP/MYSQL را تاحدی باید دانست... وگرنه خیلی ازخطاهای دریافتی که از url موردنظر گرفتم(برای sql injection) قابل تحلیل نبود.