Söka i home.aspx

PHPportalen Forum Index » PHP Mjukstart
Lägg ett bokmärke på hela tråden
Skapa nytt inlägg   Svara på inlägget Gå till sida 1, 2  Nästa
Visa föregående ämne :: Visa nästa ämne  
Startad av: Meddelande
Tomas59



Medlem i: 905 dagar

Status: Offline



#741117
Inlägg Skrivet: 2016-10-12 08:57      Ämne: Söka i home.aspx Citera

Jag är med i ett spel där man kan modifiera sin egen profil med html
Jag har gjort en egen banner på den med php och för att visa den så
måste jag använda mig av <iframe src= 'url.script.php'>
min undran nu. När någon tittar på min profil
net/profile/view_profile.aspx?MemberID=xxxxxx
kan jag läsa av information från dennes profil net/home.aspx ?
net/home.aspx är det vi ser när vi har loggat in.

Skylle vilja ha fram den personens namn till en hälsnings fras på bannern

har försökt me
$dom = new DOMDocument;
$dom->loadHTMLFile('url/net/home.aspx')

Utan framgång. Så jag förmodar att det behövs något annat i detta fall.
 
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
harald_b
Moderator



Medlem i: 4654 dagar
Från: Tavesta
Status: Offline



#741119
Inlägg Skrivet: 2016-10-12 11:23      Ämne: Citera

LIgger ditt php-script på samma domän som home.aspx?
I så fall delar ni kanske kakor med varandra, och då kanske du kan ha tillgång till uppgifterna den vägen.
Kör i så fal var_dump($_COOKIE); och se vad den ger.

I annat fall, om du har tillåtelse att bädda in javascript också, så kan du läsa av kakorna ur document.cookie. Prova i så fall med alert(document.cookie); och se vad den ger.
 

_________________
R.r - Ett fritt affärssystem
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
Tomas59



Medlem i: 905 dagar

Status: Offline



#741120
Inlägg Skrivet: 2016-10-12 11:38      Ämne: Citera

Nej skripten har jag på en annan sait.
har iof bara testat mot mig själv med
ett annat dummy konto och med chrome
för det ena kontot och firefox för det andra.

Tyckte mig se något liknande fall i ett annan
tråd. Men hittar den inte igen.
Blev lite klyven på i någon tråd nämndes att
man skulle öppna .aspx med något annat än
loadHTMLFile. Jag kanske ska prova att kolla
på en annan dator åxå.
 
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
harald_b
Moderator



Medlem i: 4654 dagar
Från: Tavesta
Status: Offline



#741121
Inlägg Skrivet: 2016-10-12 11:48      Ämne: Citera

Om du har tillåtelse att köra javascript så kanske du kan göra hela jobbet med javascript istället. Då kan du kanske använda ajax för att läsa in det data du inte kommer åt direkt.
 

_________________
R.r - Ett fritt affärssystem
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
Tomas59



Medlem i: 905 dagar

Status: Offline



#741122
Inlägg Skrivet: 2016-10-12 11:57      Ämne: Citera

Tyvärr. det är bara tillåtet med html i profilen
men jag kan använda java i min skrip som
jag kör igång med <iframe scr= "url+skript">
 
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
harald_b
Moderator



Medlem i: 4654 dagar
Från: Tavesta
Status: Offline



#741123
Inlägg Skrivet: 2016-10-12 12:09      Ämne: Citera

I så fall befinner du dig på fel sida om den säkerhetsmässiga rågången för att kunna få tillgång till den typen av data du efterfrågar.
 

_________________
R.r - Ett fritt affärssystem
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
Tomas59



Medlem i: 905 dagar

Status: Offline



#741124
Inlägg Skrivet: 2016-10-12 12:24      Ämne: Citera

Näe det är inget hemligt innehåll man kan se eller få ut därifrån. Jag har frågat deras suport då jag upptäckte
det va en som använder en .swf fil för detta.
Fick till svar
Hi there,
The information is being gathered by a third party widget.
It's not a violation of the Rules of Conduct to have widgets of this nature on your profile.
 
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
harald_b
Moderator



Medlem i: 4654 dagar
Från: Tavesta
Status: Offline



#741125
Inlägg Skrivet: 2016-10-12 12:49      Ämne: Citera

Flash följer inte helt strikt de säkerhetsmässiga rågångar som krävs för en säker webb. Det har åtminstone varit så tidigare. Därför finns det goda skäl att inte använda flash.

En annan sak du kan kolla upp är om du får något användbart i $_SERVER['http_referer'].
Om det t.ex finns ett användarid i url:en så kunde du kanske läsa av det där.
 

_________________
R.r - Ett fritt affärssystem
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
Tomas59



Medlem i: 905 dagar

Status: Offline



#741126
Inlägg Skrivet: 2016-10-12 13:44      Ämne: Citera

Bara $_SERVER['http_referer'] rätt up oc ner?
Försökte hitta något om det men finns inget i manualen
 
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
harald_b
Moderator



Medlem i: 4654 dagar
Från: Tavesta
Status: Offline



#741130
Inlägg Skrivet: 2016-10-13 00:39      Ämne: Citera

Fel av mig. Det skall vara versaler.

PHP:
1:
 var_dump$_SERVER['HTTP_REFERER']); 


Manualen:
http://php.net/reserved.variables.server
 

_________________
R.r - Ett fritt affärssystem
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
Tomas59



Medlem i: 905 dagar

Status: Offline



#741138
Inlägg Skrivet: 2016-10-14 20:38      Ämne: Citera

detta är vad jag ser i min view-source:url/new/account.aspx och försöker läsa av från dem som ser på min profil. Och visa dem deras info på min banner.
KOD:
1:
 
2:
 
3:
      <table style="text-align:left;width:100%" class="quickAccountInfoTable">
4:
      <tr>
5:
         <td>Member Since:</td>
6:
         <td><span id="ctl00_ctl00_body_body_MembershipStatus_lblMemberSince">2012-09-01</span></td>
7:
      </tr>      
8:
      <tr>
9:
         <td>Membership Type:</td>
10:
         <td><span id="ctl00_ctl00_body_body_MembershipStatus_lblMemberType">Standard VIP</span></td>
11:
      </tr>
12:
      <tr>
13:
         <td>VIP Provider:</td>
14:
         <td><span id="ctl00_ctl00_body_body_MembershipStatus_lblMemberSource">Rays/Others</span></td>
15:
      </tr>
16:
      <tr>
17:
         <td>VIP Expire/Rebill Date:</td>
18:
         <td><span id="ctl00_ctl00_body_body_MembershipStatus_lblNextBillDate">2016-10-14</span></td>
19:
      </tr>
20:
      </table>
21:
 


Detta är då vad som visas på min privata "home" sida.
Member Since: 2012-09-01
Membership Type: Standard VIP
VIP Provider: Rays/Others
VIP Expire/Rebill Date: 2016-10-14


KOD:
1:
 
2:
$userData = 'url/new/account.aspx'
3:
$dom = new DOMDocument;
4:
$dom->loadHTMLFile($userData);
5:
$info = $dom->getElementById('quickAccountInfoTable');
6:
echo $info; /* visar NULL :(
7:
if ($info === NULL) {
8:
        echo "Cant find info.";
9:
}
10:
else {
11:
    $since = $info->getAttribute('ctl00_ctl00_body_body_MembershipStatus_lblMemberSince');
12:
    $type = $info->getAttribute('ctl00_ctl00_body_body_MembershipStatus_lblMemberType');
13:
    $provider = $info->getAttribute('ctl00_ctl00_body_body_MembershipStatus_lblMemberSource');
14:
    $expire = $info->getAttribute('ctl00_ctl00_body_body_MembershipStatus_lblMemberType');
15:
   
16:
    echo '<p1>'. $since .'<br>' . $type .'<br>'. $provider .'<br>'. $expire .'<br>';
17:
}
18:
var_dump( $_SERVER['HTTP_REFERER']); 
19:
 


Verkar som jag bara får $info = NULL

var_dump( $_SERVER['HTTP_REFERER']);

visar full url till den profilen till denna user

url/new/account.aspx?idnummer
 
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
harald_b
Moderator



Medlem i: 4654 dagar
Från: Tavesta
Status: Offline



#741139
Inlägg Skrivet: 2016-10-14 22:32      Ämne: Citera

Tomas59 skrev:
var_dump( $_SERVER['HTTP_REFERER']);

visar full url till den profilen till denna user

url/new/account.aspx?idnummer


Förstår jag dig rätt att denna url innehåller ditt id-nummer, men inte besökarens id-nummer?
Jag kan inte se att det är möjligt att på detta sätt läsa av besökarens användardata utan att ha kännedom om besökarens id-nummer.
 

_________________
R.r - Ett fritt affärssystem
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
Tomas59



Medlem i: 905 dagar

Status: Offline



#741140
Inlägg Skrivet: 2016-10-14 23:34      Ämne: Citera

Ja du förstår mig rätt.
Jag har skripen i iframe i html i min profil.
och har gått loggat in med ett annat konto och kollat på min
profil.
Och får upp Cant find info och string(73) url till min profil.

Jag Försökte mig på att titta och förstå vad en annan gjort
han hade bakat in någon form av skrip i <img src= failtoload.png
och avslutat med
client.open('GET', 'http://www.utherverse.com/net/home.aspx');
client.send();">

Men jag tror han har en server.

Har försökt prata med honom om det men han är inte villig att lämna ut något om hur han gjort.
 
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
harald_b
Moderator



Medlem i: 4654 dagar
Från: Tavesta
Status: Offline



#741141
Inlägg Skrivet: 2016-10-15 03:05      Ämne: Citera

Denne andre har försökt använda javascript. Om det funkar för honom så kan det funka för dig också.
Du har för övrigt också tillgång till en server.

Senast ändrad av harald_b den 2016-10-15 03:18, ändrad totalt 1 gång
 

_________________
R.r - Ett fritt affärssystem
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
Tomas59



Medlem i: 905 dagar

Status: Offline



#741142
Inlägg Skrivet: 2016-10-15 03:17      Ämne: Citera

Jo men jag kan inte skriva till en fil då jag inte har tillgång till SQL (?) men kanske går att kringgå med en ftp skript.?
 
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
Visa tidigare inlägg:   
Skapa nytt inlägg   Svara på inlägget Gå till sida 1, 2  Nästa
PHPportalen Forum Index » PHP Mjukstart
Hoppa till:  
Du kan inte skapa nya inlägg i det här forumet
Du kan inte svara på inlägg i det här forumet
Du kan inte ändra dina inlägg i det här forumet
Du kan inte ta bort dina inlägg i det här forumet
Du kan inte rösta i det här forumet
Du kan inte bifoga filer i detta forum
Du kan inte ladda ner filer från detta forum
Kontakta oss på adressen: info@phpportalen.net
Webbplatsen bygger i grunden på phpBB © 2001, 2002 phpBB Group

Modifieringar har senare gjorts i systemet av PHPportalen
Sid och logotypdesign skapad av Daren Jularic