כניסה אוטומאטית לאתר שכולל הזדהות ומעבר דף.

[thinking8]

כניסה אוטומאטית לאתר שכולל הזדהות ומעבר דף.

אני מנסה לבצע כניסה אוטומאטית לאתר שדורש טופס פשוט של שם משתמש וסיסמא.
העניין הוא שאני מעוניין לעבור לדף שני על מנת לקרוא ממנו נתונים.
יש דרך לעשות את זה?כלומר לאחר ביצוע לוגין לשמר את ה SESSION ולעבוד על דף אחר?

 

[Royi Namir]

לא עושים את זה ככה

לאחר ביצוע LOGIמ אתה מג'נרט GUID , ושולח אותו ב QS לדף השני.
שם - אתה קורא את ה GUID ובודק האם הוא וואלידי ( או EXPIRED - אם אתה עוסק בזה)

(בהנחה שהבנתי אותך)

 

[thinking8]

אני יסביר

האתר הוא לא אתר שלי.
יש לי את המשתמש והסיסמא לאתר.
המטרה היא לבצע לוגין ולאחר מכן לעבור לדף אחר ולאסוף ממנו מידע לתוך DB משלי.

 

[Royi Namir]

שכח מזה

מה שכן - (אולי) - אפשר לעשות זה שבמידה ועשית POST לאתר שדורש USERNAME - אז אתה מדמה FORM SUBMISSION
ואחרי זה ( מכאן אין לך שליטה) - על ידי CHROME EXTENSION - לתפוס את האירוע הזה או הדף נחיתה ואז לשלוח נתונים מהדף הזה אליך

זה בערך מה שעשיתי בPLUGIN שבניתי לאתר של ANGULAR.
https://chrome.google.com/webstore/detail/ng-print-print-angularjs/pbmjpmgoeagnpcddnfdolpmmkdnhjple


ושל תפוז
https://chrome.google.com/webstore/detail/tapuz-forums-plug-in/fmiknjodfkibngohghdoghindkjpmfcf

 

[Royi Namir]

נ.ב. אם לאתר יש הגנת CSRF - באמת שכח מזה.

 

[thinking8]

איך אפשר לבדוק אם לאתר יש הגנה כזו?

 

[רון קליין]

למה?

אמנם, לא תמיד קל לעשות reverse-engineering לאתר, אבל סה"כ אפשרי. אני אומר את זה מתוך נסיון של בערך שנה וחצי של crawling.
בסופו של דבר, אחרי שמבינים את הלוגיקה של האתר, זה HTTP וניהול של cookies. הכל גלוי כשמשתמשים בתוספים השונים ברמת הדפדפן. להפוך את זה לאפליקטיבי זה יכול להיות אתגר, אבל בד"כ אפשרי.
אין בעיה גדולה להיכנס בתור משתמש רשום ל Linked-In ולהתחיל "לקצור" משם פרופילים. העניין הוא שתוך זמן קצר הם עולים על זה וחוסמים את את המשתמש.

 

[Royi Namir]

אנחנו מדברים על אותו דבר ?

האתר לא בבעלותו ואין לו שליטה על הקוד שלו.

כפי שאמרתי בתשובתי לעיל , אפשר לדמות SUBMISSION של יוזר וססמא על ידי תוכנה , זה לא בעיה.
משם והלאה (אחרי שנכנס לאתר)אין לו שליטה להגיד לו : " שלח לאתר X את הנתונים שבדף זה"

שלא נדבר שגם אם היה לו - זה לא היה תופס על AJAX - כלומר תוכן דינמי שנטען. ( CHROME EXTENSION לדוגמא - כן היה פותר את זה ולכן ציינתי זאת בתשובתי).
גם אם הוא היה טוען את זה דינאמי ב IFRMAE - הוא לא היה יכול לגשת עקב CROSS DOMAIN BOUNDRY.

בנוסף, שוב - אם האתר מימש הגנת CSRF - זה לא יעשה לו אפילו SUBMISSION.
כי לתוכנה לא יהיה לא את ה COOKIE ו/או לא את ה HIDDEN FIELD . ( להשוואה)
מדובר לפי דעתי על תהליך שה OP רוצה שיהיה אוטומטי.

 

[רון קליין]

כנראה שלא

אתה כנראה מתייחס לאוטומציה ברמת הדפדפן, כלומר שהדפדפן הוא ה host של האוטומציה.
אני מתייחס לקוד נטו (בשפה כלשהי, לאו דווקא משהו בדוט נט), שרץ בתוך פרוסס משל עצמו.

 

[Royi Namir]

לא נראה לי שהוא יתחיל לחלק פרוססים ללקוחות

אולי אני טועה , לא יודע צריך לשאול אותו

 

[רון קליין]

נשמע שזה שימוש פנימי שלו

לפחות ככה הבנתי את השאלה

 

[thinking8]

רון מה הכוונה מימוש פנימי שלי?

האתר כמו שכבר נאמר לא שלי, אני מעוניין להגיע לדף אחר אחרי LOGIN ולמשוך נתונים משם.

 

[Royi Namir]

Forget it.( אני יודע רק 2 שפות)

בואו נבנה תוכנה / אתר שיכנס לפייסבוק יסרוק את הדף וישלח בקשות חברים באופן רקורסיבי - אוטומטי

שכח מזה.

 

[רון קליין]

ואיך אתה רוצה לעשות את זה?

האם זה איזו תוכנה שתרוץ במחשב האישי שלך (כמו כל תוכנה אחרת, בסגנון Word או Excel או כל חלון שרק תרצה) שתשלוף את הנתונים ותעשה איתם משהו?

 

[thinking8]

רון זו בדיוק הכוונה

המטרה לאסוף מאתר מחול הזמנות שהתקבלו לעדכן ל DB מקומי במחשב
ולעשות כל מיני דברים אחרי זה.

 

[רון קליין]

אז סבבה, אפשרי.

ולא רק בדוט נט.
אבל לגבי "איך עושים" זה תלוי במקרה הספציפי שלך.
כמו שאמרתי קודם, צריך להבין את הלוגיקה של האתר ולסמלץ אותה ע"י קוד.

 

[HackPoint]

למה דווקא אתה החלטת להדגיש שזה לא בnet.?

 

[thinking8]

רון איך אתה מציע לבצע את זה?

 

[רון קליין]

אני חוזר:

לגבי "איך עושים" זה תלוי במקרה הספציפי שלך.
כמו שאמרתי קודם, צריך להבין את הלוגיקה של האתר ולסמלץ אותה ע"י קוד.

 

[Royi Namir]

להבא נא ציין זאת בהתחלה ולא לאחר 8 הודעות.