Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (35.31 KB, 2 trang )
Một số thủ thuật hack forum
trang này đã được đọc lần
1.Tìm hiểu:
một user bất kì có các option để thay đổi thông tin cá nhân, post bài, send pm, .... và tất nhiên
chỉ có user đó mới có quyền sử dụng các option đó với username của mình vì server sẽ check
session/cookies của user đó.
2. Mục đích của ta:
chiếm quyền của user nào đó (admin chẳng hạn) để sử dụng các option của user này.
3. Cách giải quyết:
- Cách 1: nếu có user password thì hết chỗ chê, login và sử dụng liền ;D
- Cách 2: tìm lỗi của forum <-- not always easy ;(
- Cách 3: không cần tìm lỗi forum mà tìm cách "nhờ" user sử dụng các option của user này theo
ý mình, hi`.
4. Sử dụng cách 3:
4.1. Tìm hiểu về cách hoạt động của form:
VD khi user sử dụng update email option thì form sẽ có dạng:
<form method="post" action="update.php">
<input type="text" name="email" value="">
<input type="submit" name="but" value="send">
</form>
khi data được gửi = form trên tới server thì server sẽ check xem user nào gửi tới + right to
update của user đó rồi thực hiện request.
4.2. Làm sao "nhờ" user sử dụng form trên theo ý mình?
Gửi cho user một html page trong đó có:
+ form trên nhưng các value của input theo ý mình (vd: )
+ sử dụng thêm hàm auto submit form để khi user mở html file này thì form sẽ tự động submit,
tag này có dạng:
<body onLoad="document.forms[0].submit();">
+ nên sử dụng thêm một vài tiểu xảo che mắt user, không cho user biết là option của mình đã bị
sử dụng trái phép <-- tự tìm hiểu.
5. Kết quả: vì request này được gửi đi từ máy user + thêm đk cần là user đang online nên