۲۴-فروردین-۱۳۸۸, ۰۱:۵۸:۱۳
۲۴-فروردین-۱۳۸۸, ۱۲:۴۸:۴۵
توی دلفی میتونم بنویسم و یونیت بدم ولی مثل اینکه شما vb میخوای درسته ؟
اگه دلفی خواستی میشه کاریش کرد
اگه دلفی خواستی میشه کاریش کرد
۲۴-فروردین-۱۳۸۸, ۱۲:۵۸:۳۵
نه IISecurity.C عزیز
برای VB می خوام!
خیلی ممنون از لطفت!
+=+=+=+=+=+=+=+=+
کسی نیست کمک کنه!!
بد جور گیر کردم!
برای VB می خوام!
خیلی ممنون از لطفت!
+=+=+=+=+=+=+=+=+
کسی نیست کمک کنه!!
بد جور گیر کردم!
۲۴-فروردین-۱۳۸۸, ۱۷:۵۷:۴۱
من فکر می کنم دلیل اینکه شما پاسخ سوالتون رو تا حالا نگرفتید ، اینه که درست مطرحش نکردید ...
الان خودتون یه بار دیگه پست اول رو بخونید :
یعنی نگفتید این اطلاعات رو کجا می خواید وارد کنید ؟ توی مرورگر می خوایید وارد کنید ؟ اگه آره توی چه مرورگری ؟ این کار قراره مخفی انجام بشه یا نه ؟ ...
یا اصلا می خواید یه برنامه بنویسید که اون برنامه توی اون پیج خاص لاگین کنه ؟
؟
الان خودتون یه بار دیگه پست اول رو بخونید :
نقل قول: آقا چند روز پیش دیدم یکی از دوستان یه سوالی کرده بود در مورده اینکه چطوری میشه داخل یک سایت یه سری اطلاعات رو وارد کرد!
ولی هیچ کس پاسخی نداد !
این سوال برای من هم پیش اومده !
ممنون میشم اگه کسی راهنمایی کنه یا یه سورس بذاره که متوجه شیم باید چکاری انجام بدیم؟!
یعنی نگفتید این اطلاعات رو کجا می خواید وارد کنید ؟ توی مرورگر می خوایید وارد کنید ؟ اگه آره توی چه مرورگری ؟ این کار قراره مخفی انجام بشه یا نه ؟ ...
یا اصلا می خواید یه برنامه بنویسید که اون برنامه توی اون پیج خاص لاگین کنه ؟
؟
۲۴-فروردین-۱۳۸۸, ۱۹:۳۹:۰۱
آقای amirjan عزیز
من که تو هر پستی که دادم یه بار توضیح دادم که منظورم چیه!!
اصلا موضوع روی مرورگر نیست!
قرار نیست مخفی هم انجام بشه!
یه بار دیگه توضیح میدم:
من میخوام داخل فیلدهای خالی یه سایت بدون اینکه به اون وارد بشم (از طریق VB) اطلاعات وارد کنم و اون رو بفرستم!
مثلا از بلگفا مثال میزنم:
داخل http://www.blogfa.com/NewBlog.aspx بشید.
8 عدد تکست باکس هست که برای ساختن وبلاگ باید پر بشن!
من میخوام داخل VB یک فورم داشته باشم که 8 تا تکست باکس توش هست و یه Button برای ساختن وبلاگ!
بدون اینکه وارد سایت بشم با پر کردن اون تکست باکس ها داخل VB و زدن Button یه وبلاگ بسازم!
فهمیدم که باید اطلاعات HTML رو زیاد کنم که کردم!
ولی نمیدونم این موضوع رو چطوری داخل VB اجرا کنم!
دیگه نمیدونم چجوری توضیح بدم!
امیدوارم متوجه حرفم شده باشید!
من که تو هر پستی که دادم یه بار توضیح دادم که منظورم چیه!!
اصلا موضوع روی مرورگر نیست!
قرار نیست مخفی هم انجام بشه!
یه بار دیگه توضیح میدم:
من میخوام داخل فیلدهای خالی یه سایت بدون اینکه به اون وارد بشم (از طریق VB) اطلاعات وارد کنم و اون رو بفرستم!
مثلا از بلگفا مثال میزنم:
داخل http://www.blogfa.com/NewBlog.aspx بشید.
8 عدد تکست باکس هست که برای ساختن وبلاگ باید پر بشن!
من میخوام داخل VB یک فورم داشته باشم که 8 تا تکست باکس توش هست و یه Button برای ساختن وبلاگ!
بدون اینکه وارد سایت بشم با پر کردن اون تکست باکس ها داخل VB و زدن Button یه وبلاگ بسازم!
فهمیدم که باید اطلاعات HTML رو زیاد کنم که کردم!
ولی نمیدونم این موضوع رو چطوری داخل VB اجرا کنم!
دیگه نمیدونم چجوری توضیح بدم!
امیدوارم متوجه حرفم شده باشید!
۲۴-فروردین-۱۳۸۸, ۲۰:۳۲:۱۵
يک مثال از قسمت گزارش تخلف بلاگفا ميزارم
http://blogfa.com/About/Abuse.aspx
شما بايد سورس صفحه مورد نظرتون رو يکجا ذخيره کنيد بعد اون رو با اديتور باز کنيد و داخل سورس آيتم های صفحه و متد و نام صفحه که تو قسمت action رو پيدا کنيد
خوب توی اين صفحه به نظر 6 تا آيتم وجود داره و با پر کردن و فرستادن ديتا صفحه رو شبيه سازی کرديم
اما نکات مهمی وجود داره، ممکنه برای امنيت صفحه روی اين صفحه کوکی ست شده باشه و يا آيتم های (hidden) وجود داشته
برای اينکه بفهميم روی صفحه کوکی ست شده يا نه، موقع باز شدن صفحه بايد اسنيفش کنيم بعد از توی هدری که دريافت(receive) کرديم ميفهميم که کوکی ست شده
اين هدری هست که از اين صفحه اسنيف شده ميبينيم که کوکی ست نشده
حالا بايد توی سورس که قبلاً ذخيره کرديم بگرديم ببينيم آيا آيتم مخفی وجود داره
کلمه hidden رو توی سورس سرچ ميکنيم اگه پيدا شد اسم آيتم رو بايد يکجا بنويسيم ممکن هست يک يا چند تا آيتم باشه.
توی اين صفحه يک آيتم مخفی وجود داره
ميبينيم که توی آيتم مقداری ذخيره شده موقع ارسال اين صفحه بايد اين آيتم با مقدار داخلش رو بفرستيم اگه مقداری که از اين آيتم ميفرستيم غير از مقداری باشه که توی فيلد هست و يا تکراری باشه با خطا مواجه ميشيم
(اما شايد راه هايی برای درست کردن مقدار های مخفی وجود داشته باشه که اين بر ميگرده به نحوه کدينگ و سطح امنيت الگوريتمی که برای توليد کد استفاده ميشه)
اگر صفحه آيتم مخفی داشته باشه و يا روی صفحه کوکی ست شده باشه ما نميتونم همينطوری صفحه رو بفرستيم برای گرفتن کوکی و آيتم های مخفی بايد توسط برنامه يکبار صفحه رو باز ميکنيم و کوکی و آيتم های مخفی رو پيدا کنيم و توی متغير ذخيره کنيم..
ادامه داره...
http://blogfa.com/About/Abuse.aspx
شما بايد سورس صفحه مورد نظرتون رو يکجا ذخيره کنيد بعد اون رو با اديتور باز کنيد و داخل سورس آيتم های صفحه و متد و نام صفحه که تو قسمت action رو پيدا کنيد
خوب توی اين صفحه به نظر 6 تا آيتم وجود داره و با پر کردن و فرستادن ديتا صفحه رو شبيه سازی کرديم
اما نکات مهمی وجود داره، ممکنه برای امنيت صفحه روی اين صفحه کوکی ست شده باشه و يا آيتم های (hidden) وجود داشته
برای اينکه بفهميم روی صفحه کوکی ست شده يا نه، موقع باز شدن صفحه بايد اسنيفش کنيم بعد از توی هدری که دريافت(receive) کرديم ميفهميم که کوکی ست شده
کد:
HTTP/1.1 200 OK
Cache-Control: private
Date: Mon, 13 Apr 2009 11:16:26 GMT
Content-Type: text/html; charset=utf-8
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
X-AspNet-Version: 2.0.50727
Content-Encoding: gzip
Vary: Accept-Encoding
Transfer-Encoding: chunkedحالا بايد توی سورس که قبلاً ذخيره کرديم بگرديم ببينيم آيا آيتم مخفی وجود داره
کلمه hidden رو توی سورس سرچ ميکنيم اگه پيدا شد اسم آيتم رو بايد يکجا بنويسيم ممکن هست يک يا چند تا آيتم باشه.
توی اين صفحه يک آيتم مخفی وجود داره
کد:
<input type="hidden" name="__EVENTVALIDATION" id="__EVENTVALIDATION" value="/wEWBwKk6buzDAKa+/bVAgLEhISFCwKE8/26DAKL+4qxCwK/1s7/DwKFzrr8AfJ6gncecMAEUJCPG9tlhnpKO0b9" />(اما شايد راه هايی برای درست کردن مقدار های مخفی وجود داشته باشه که اين بر ميگرده به نحوه کدينگ و سطح امنيت الگوريتمی که برای توليد کد استفاده ميشه)
اگر صفحه آيتم مخفی داشته باشه و يا روی صفحه کوکی ست شده باشه ما نميتونم همينطوری صفحه رو بفرستيم برای گرفتن کوکی و آيتم های مخفی بايد توسط برنامه يکبار صفحه رو باز ميکنيم و کوکی و آيتم های مخفی رو پيدا کنيم و توی متغير ذخيره کنيم..
ادامه داره...
۳۰-فروردین-۱۳۸۸, ۰۱:۴۸:۲۴
CRazYFULL عزیز
کجا رفتین ! پس!
قسمت دوم رو هم لطف می کنید بذارید!
خیلی خیلی ممنون به خاطر قسمت اول...
کجا رفتین ! پس!
قسمت دوم رو هم لطف می کنید بذارید!
خیلی خیلی ممنون به خاطر قسمت اول...
۰۲-اردیبهشت-۱۳۸۸, ۱۸:۳۶:۴۴
بعد از جمع کردن اطلاعات حالا نوبت به فرستادن اونها ميشه
برای فرستادن و برقراری ارتباط با وب بايد کمی با پروتکل http آشنايی داشته باشيد
پروتکل http برای فرستادن داده ها از چند متد استفاده ميکنه از معروفترين متد ها GET و POST هستند
صفحه که ما باش قرار هست کار کنيم از متد POST استفاده ميکنه اين رو ميشه از تو سورس صفحه و در قسمت Action فهميد
حالا بايد هدر پروتکل رو با استفاده از مقدار هايی که قبلاً به دست آورديم برای صفحه تنظيم کنيم معمولاً هدر هميشه ثابت هست فقط بعضی از قسمت ها تغيير پيدا ميکنن
توی متد POST بعد از هدر با يک خط فاصله بايد داده ها رو بنويسيم
مقدارهای که قبلاً به دست آورديم رو پشت سر هم تو يک خط مينويسيم
بعد = مقداری آيتم قرار ميگيره و با & به پايان ميرسه و آيتم بعدی شروع ميشه
برای اينکه مشگلی پيش نياد بايد توی مقدارهايی که از کاراکترهای مثل({}؛:'/"\()[]،%&*$# @!~`)و... قرار داره رو به کد هکس تبديل ميکنيم(قبل کد هکس هميشه يک % قرار ميگيره)
بعد از کامل کردن اين مراحل به وسيله وينساک اطلاعات رو ميفيستيم بعد از رويداد DataArrival وينساک نتيجه رو ميتونيد بگيريد و تحليل کنيد
البته به جز وينساک ابزارهای ديگری هم برای برقراری ارتباط با وب هستند
مثالی هم واسه اين صفحه نوشته بودم متأسفانه اشتباهاً پاکش کردم
برای فرستادن و برقراری ارتباط با وب بايد کمی با پروتکل http آشنايی داشته باشيد
پروتکل http برای فرستادن داده ها از چند متد استفاده ميکنه از معروفترين متد ها GET و POST هستند
صفحه که ما باش قرار هست کار کنيم از متد POST استفاده ميکنه اين رو ميشه از تو سورس صفحه و در قسمت Action فهميد
حالا بايد هدر پروتکل رو با استفاده از مقدار هايی که قبلاً به دست آورديم برای صفحه تنظيم کنيم معمولاً هدر هميشه ثابت هست فقط بعضی از قسمت ها تغيير پيدا ميکنن
کد:
POST /About/Abuse.aspx HTTP/1.1
Host: www.blogfa.com
User-Agent: MyApp
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Connection: keep-alive
Content-Length: 527 '<== andaze tool dataتوی متد POST بعد از هدر با يک خط فاصله بايد داده ها رو بنويسيم
مقدارهای که قبلاً به دست آورديم رو پشت سر هم تو يک خط مينويسيم
بعد = مقداری آيتم قرار ميگيره و با & به پايان ميرسه و آيتم بعدی شروع ميشه
کد:
__EVENTTARGET=&__EVENTARGUMENT=&__VIEWSTATE=&txtUrl=&cmbType=&txtName=&txtEmail=&txtTel=&txtMessage=&btnSend=&__EVENTVALIDATION=برای اينکه مشگلی پيش نياد بايد توی مقدارهايی که از کاراکترهای مثل({}؛:'/"\()[]،%&*$# @!~`)و... قرار داره رو به کد هکس تبديل ميکنيم(قبل کد هکس هميشه يک % قرار ميگيره)
بعد از کامل کردن اين مراحل به وسيله وينساک اطلاعات رو ميفيستيم بعد از رويداد DataArrival وينساک نتيجه رو ميتونيد بگيريد و تحليل کنيد
البته به جز وينساک ابزارهای ديگری هم برای برقراری ارتباط با وب هستند
مثالی هم واسه اين صفحه نوشته بودم متأسفانه اشتباهاً پاکش کردم
۰۳-اردیبهشت-۱۳۸۸, ۰۰:۲۲:۵۱
وایییی...
خیلی بد شد پاک شد . با مثال خیلی راحت تر هست فهمیدنش!
خیلی بد شد پاک شد . با مثال خیلی راحت تر هست فهمیدنش!
۰۳-اردیبهشت-۱۳۸۸, ۰۰:۲۷:۱۸
(۰۳-اردیبهشت-۱۳۸۸, ۰۰:۲۲:۵۱)Salivan نوشته است: [ -> ]وایییی...
خیلی بد شد پاک شد . با مثال خیلی راحت تر هست فهمیدنش!
آره به مثال خيلی خوب ميشه وقت بيارم مثال ميذارم
قبلاً تو سايت يکی دو تا نمونه با اين روش گذاشته بودم
۳۰-خرداد-۱۳۸۸, ۱۴:۴۱:۵۱
کسی میتونه در این باره بیشتر توضیح بده؟یا لطف کنه یه سورس نمونه بزاره؟
اگر صفحه آيتم مخفی داشته باشه و يا روی صفحه کوکی ست شده باشه ما نميتونم همينطوری صفحه رو بفرستيم برای گرفتن کوکی و آيتم های مخفی بايد توسط برنامه يکبار صفحه رو باز ميکنيم و کوکی و آيتم های مخفی رو پيدا کنيم و توی متغير ذخيره کنيم..؟
اگر صفحه آيتم مخفی داشته باشه و يا روی صفحه کوکی ست شده باشه ما نميتونم همينطوری صفحه رو بفرستيم برای گرفتن کوکی و آيتم های مخفی بايد توسط برنامه يکبار صفحه رو باز ميکنيم و کوکی و آيتم های مخفی رو پيدا کنيم و توی متغير ذخيره کنيم..؟