10/10/2018, 09:51
Tự động đăng nhập
Chào cả nhà!
Tình hình là em có 1 tài khoản của 1 trang A, em muốn khi người dùng vào trang của em sẽ tự động chuyển sang trang A. Và khi đấy trang A sẽ được đăng nhập tự động - ẩn đối với người dùng.
Em có sử dụng cURL nhưng có vẻ ko ăn thua.
Ví dụ với User: user, Password: password và Site : http://admin.5socks.net/
Đây là code của em:
[code=text]
<?php
$ch = curl_init();
$POSTFIELDS = "user=[user]&pass=[pass]&action=login";
curl_setopt($ch, CURLOPT_URL, "http://admin.5socks.net/cgi-bin/login.cgi");
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS,$POSTFIELDS);
$str = curl_exec($ch);
$return =curl_close($ch);
?>
[/code]
Cám ơn các bác rất nhiều
Tình hình là em có 1 tài khoản của 1 trang A, em muốn khi người dùng vào trang của em sẽ tự động chuyển sang trang A. Và khi đấy trang A sẽ được đăng nhập tự động - ẩn đối với người dùng.
Em có sử dụng cURL nhưng có vẻ ko ăn thua.
Ví dụ với User: user, Password: password và Site : http://admin.5socks.net/
Đây là code của em:
[code=text]
<?php
$ch = curl_init();
$POSTFIELDS = "user=[user]&pass=[pass]&action=login";
curl_setopt($ch, CURLOPT_URL, "http://admin.5socks.net/cgi-bin/login.cgi");
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS,$POSTFIELDS);
$str = curl_exec($ch);
$return =curl_close($ch);
?>
[/code]
Cám ơn các bác rất nhiều
Bài liên quan
Chỉ làm đc việc này khi và chỉ khi trang admin.5socks chịu nhận session id trên URL (via GET)
Nếu trang admin ấy code = php thì xác suất thành công khá cao, vì PHP mặc định sẽ tìm session id trên cả URL lẫn Cookie (order : EGPCS)
Và nói trước là triển khai nó sẽ khá phức tạp.
Tạo 1 trang với form ẩn tự động submit đến trang http://admin.5socks.net/cgi-bin/login.cgi là ok rồi. Tuy nhiên nguy cơ lộ tài khoản đó là ko tránh khỏi.
1. Việc submit từ domain này qua domain khác bằng javascript này, nếu khách truy cập có dùng 1 số addon chống XSS (NoScript) sẽ warn hoặc tệ hơn là bị block. Quan trọng đây là hidden processing - "hành động mờ ám"
2. Submit như thế thì username+pass sẽ phải send ra client, chỉ cần người dùng biết sơ sơ về kỹ thuật là user+pass vào trang kia bị thấy ngay.
Sau khi catch mấy gói tin thì em phát hiện ra là thằng này dùng cookie để đăng nhập.
Em làm như sau:
Sau khi đăng nhập thành công thì nó sẽ lưu cookie lên server của em, tất nhiên người dùng ko hề biết điều này.