Отправить форму чужого сайта без участия пользователя

@HapKoT · Регистрация: 31.01.2014

Студворк — интернет-сервис помощи студентам

Недавно мне написал 1 пользователь об уязвимости на моём буксе. Уязвимость была в том, что этот пользователь написал скрипт на своём сайте. При переходе на страницу с его скриптом было перенаправление на мой букс только с уже нажатой кнопкой.
Он написал, что любую форму можно отправить без участия человека. Ещё написал, что это не работает, если в браузере отключен js. Поэтому я и пишу на форум js.
Вобщем подскажите, что это и в какую сторону копать, чтобы такое реализовать?

@kalabuni · 12.04.2014, 16:21

а что такое "букс", не расскажете?

@HapKoT · 12.04.2014, 16:51 **[ТС]**

kalabuni, система активной рекламы, но это не так важно... Так можно отправить форму на любом сайте

@kalabuni · 12.04.2014, 17:44

можно
и не с сайта даже, а с домашнего компьютера из простого сохранённого на жёстком диске html-файла
именно так и поступают спамеры

бороться с этим можно
например, в файле, который получает данные формы, надо учитывать реферер... и/или делать капчу...

@HapKoT · 12.04.2014, 19:47 **[ТС]**

Как защититься я знаю, а вот как сделать такой же скрипт как у него?

@kalabuni · 12.04.2014, 21:34

хотите с моей помощью стать спамером?

@HapKoT · 12.04.2014, 22:30 **[ТС]**

kalabuni, Нет конечно, мне для других целей надо)

@HapKoT · 14.04.2014, 01:33 **[ТС]**

Подскажите хотя бы на чём это основано?

@kalabuni · 14.04.2014, 11:59

основано на программном сабмите формы методом submit ()
и на том, что серверу совершенно без разницы - от какого именно элемента формы он получит пару name=value

@HapKoT · 14.04.2014, 22:47 **[ТС]**

kalabuni, а можно поподробнее?
То, что я начал писать оказалось полным бредом, а гугл ничего дельного не выдаёт...

@Taatshi · 15.04.2014, 11:48

HapKoT, нельзя. Поскольку цели Вы не озвучили, а спам - это нарушение Российского законодательства - тема закрыта.

Если у Вас благие побуждения - озвучивайте мне в личку - будем решать - имеет тема право на существование или нет.

Новые блоги и статьи Все статьи Все блоги /
Установка Qt Creator для C и C++: ставим среду, CMake и MinGW без фреймворка Qt 8Observer8 05.04.2026 Среду разработки Qt Creator можно установить без фреймворка Qt. Есть отдельный репозиторий для этой среды: https:/ / github. com/ qt-creator/ qt-creator, где можно скачать установщик, на вкладке Releases:. . .	AkelPad-скрипты, структуры, и немного лирики.. testuser2 05.04.2026 Такая программа, как AkelPad существует уже давно, и также давно существуют скрипты под нее. Тем не менее, прога живет, периодически что-то не спеша дополняется, улучшается. Что меня в первую очередь. . .	Отображение реквизитов в документе по условию и контроль их заполнения Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеСпецтехники", разработанного в конфигурации КА2. Данный документ берёт данные из другого нетипового документа. . .	Фото всей Земли с борта корабля Orion миссии Artemis II kumehtar 04.04.2026 Это первое подобное фото сделанное человеком за 50 лет. Снимок называют новым вариантом легендарной фотографии «The Blue Marble» 1972 года, сделанной с борта корабля «Аполлон-17». Новое фото. . .
Вывод диалогового окна перед закрытием, если документ не проведён Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: реализовать программный контроль на предмет проведения документа. . .	Программный контроль заполнения реквизитов табличной части документа Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: 1. Реализовать контроль заполнения реквизита. . .	wmic не является внутренней или внешней командой Maks 02.04.2026 Решение: DISM / Online / Add-Capability / CapabilityName:WMIC~~~~ Отсюда: https:/ / winitpro. ru/ index. php/ 2025/ 02/ 14/ komanda-wmic-ne-naydena/	Программная установка даты и запрет ее изменения Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: при создании документов установить период списания автоматически. . .

@HapKoT 5 / 5 / 5 Регистрация: 31.01.2014 Сообщений: 107

	Отправить форму чужого сайта без участия пользователя 12.04.2014, 12:55. Показов 884. Ответов 10 Метки нет (Все метки) Недавно мне написал 1 пользователь об уязвимости на моём буксе. Уязвимость была в том, что этот пользователь написал скрипт на своём сайте. При переходе на страницу с его скриптом было перенаправление на мой букс только с уже нажатой кнопкой. Он написал, что любую форму можно отправить без участия человека. Ещё написал, что это не работает, если в браузере отключен js. Поэтому я и пишу на форум js. Вобщем подскажите, что это и в какую сторону копать, чтобы такое реализовать? 0

@kalabuni супермизантроп 3941 / 2979 / 692 Регистрация: 18.04.2012 Сообщений: 8,629
	12.04.2014, 16:21
	а что такое "букс", не расскажете? 0

@HapKoT 5 / 5 / 5 Регистрация: 31.01.2014 Сообщений: 107
	12.04.2014, 16:51 [ТС]
	kalabuni, система активной рекламы, но это не так важно... Так можно отправить форму на любом сайте 0

@kalabuni супермизантроп 3941 / 2979 / 692 Регистрация: 18.04.2012 Сообщений: 8,629
	12.04.2014, 17:44
	можно и не с сайта даже, а с домашнего компьютера из простого сохранённого на жёстком диске html-файла именно так и поступают спамеры бороться с этим можно например, в файле, который получает данные формы, надо учитывать реферер... и/или делать капчу... 0

@HapKoT 5 / 5 / 5 Регистрация: 31.01.2014 Сообщений: 107
	12.04.2014, 19:47 [ТС]
	Как защититься я знаю, а вот как сделать такой же скрипт как у него? 0

@kalabuni супермизантроп 3941 / 2979 / 692 Регистрация: 18.04.2012 Сообщений: 8,629
	12.04.2014, 21:34
	хотите с моей помощью стать спамером? 0

@HapKoT 5 / 5 / 5 Регистрация: 31.01.2014 Сообщений: 107
	12.04.2014, 22:30 [ТС]
	kalabuni, Нет конечно, мне для других целей надо) 0

@HapKoT 5 / 5 / 5 Регистрация: 31.01.2014 Сообщений: 107
	14.04.2014, 01:33 [ТС]
	Подскажите хотя бы на чём это основано? 0

@kalabuni супермизантроп 3941 / 2979 / 692 Регистрация: 18.04.2012 Сообщений: 8,629
	14.04.2014, 11:59
	основано на программном сабмите формы методом submit () и на том, что серверу совершенно без разницы - от какого именно элемента формы он получит пару name=value 0

@HapKoT 5 / 5 / 5 Регистрация: 31.01.2014 Сообщений: 107
	14.04.2014, 22:47 [ТС]
	kalabuni, а можно поподробнее? То, что я начал писать оказалось полным бредом, а гугл ничего дельного не выдаёт... 0

@Taatshi Почетный модератор 12274 / 5340 / 268 Регистрация: 05.04.2011 Сообщений: 14,086 Записей в блоге: 2
	15.04.2014, 11:48
	HapKoT, нельзя. Поскольку цели Вы не озвучили, а спам - это нарушение Российского законодательства - тема закрыта. Если у Вас благие побуждения - озвучивайте мне в личку - будем решать - имеет тема право на существование или нет. 0