Cross Domain Fever !

12/11/2011, 00h19

J'invoque les gourous du javascript pour venir a bout de mes demons !

Dans les grandes lignes je realise un site web A, pour le gentil personnel de ma boite qui a des besoins meme une fois rentre a la maison, et qui apres identification leur permettra d'acceder a d'autres sites web (genre boite mail etc...) sans avoir a s'identifier de nouveau sur ceux-ci, un genre de SSO quoi.

Mais il y a un, et un seul!, site que je n'arrive pas a ralier sous ma baniere, et le comble c'est qu'il est heberge sur une de nos becanes !

Alors je vous explique ou est le probleme:

pour acceder a ce site B, heberge chez nous, l'internaute se frotte a notre proxy qui le redirige vers la becane en question qui lui sert les pages web. En effet le proxy comprend qu'en l'appelant sur le port 8080 on va direil doit rediriger la requete la ou il faut, vers le serveur du site B.

Jusque la tout va bien, mais je viens de decouvrir une chose, le site en question, n'existe pas franchement... c'est en fait une application, installee sur un poste sous WinXP, qui embarque un truc du genre easyPhp et qui genere les pages web a la volee... donc aucun acces aux fichiers html/php/js pour y ajouter mon grain de sel, les boules.

Et pour finir de m'achever le code source de la page d'accueil du site B m'indique que tout est genere via du javascript, le formulaire d'identification qui m'interesse dans cette demarche, le contenu des pages, genre absolument tout...

Y'en a pour environ 8 mega de javascript, perso ca me fait halluciner !

Mesdames Messieurs les Gourous, par quel biais puis-je 'prendre le controle' du formulaire d'identification du site B? Mon idee est de pouvoir y modifier les value des input du formulaire puis de le 'submit' automatiquement, le tout en javascript.

Et comment eviter les galeres du Same Origin Policy sachant que je pourrais installer un second serveur web pour mon site A sur la becane du site B ?

Je ne sais pas par ou commencer, ni dans quelle direction aller, ni quelle fonction jscript utiliser (ultra novice en javascript) ... !

Mesdames Messieurs les gourous, HELP ! et merci !!

14/11/2011, 01h04

Donc en gros :

1 serveur proxy avec IP publique,

et derrière une becane sous XP avec un logiciel complètement opaque qui sert une page web à la volée qui contient un formulaire d'identification généré en jscript.

Tout cela dans mes locaux, donc tout est permis !! ajout d'une becane, installation 2ème serveur apache sur la machine sous xp, modification paramètre proxy, etc etc ...

Comment faire ??

bewidia · 16/11/2011, 17h15

Tu ne peux pas inspecter le code généré par le serveur en question une fois la page ouverte dans le navigateur internet ?
Je ne sais pas si tu y as pensé, mais à priori trouver l'action du formulaire de soumission avec les champs requis et forger une requête depuis ton site central pour t'authentifier devrait être possible.

Si même le code généré est imbuvable, tu peux installer Wireshark sur ton poste et lors de l'authentification tu essaies de trouver la trame réseau qui part vers le serveur pour en obtenir l'action et les champs.

yjuliet · 18/11/2011, 09h40

Avec FF, tu peux analyser le code HTML généré en sélectionnant tout (Ctrl + A) puis clic droit -> afficher le code source de la sélection.

Ceci te permettra d'analyser le formulaire résultant des codes JScript et de passer outre en envoyant directement les requêtes comme émanant de la page de login.

12/11/2011, 00h19	#1
Invité(e) Invité(e) Messages : n/a Détails du profil Informations forums : Messages : n/a Points : 0	Cross Domain Fever ! J'invoque les gourous du javascript pour venir a bout de mes demons ! Dans les grandes lignes je realise un site web A, pour le gentil personnel de ma boite qui a des besoins meme une fois rentre a la maison, et qui apres identification leur permettra d'acceder a d'autres sites web (genre boite mail etc...) sans avoir a s'identifier de nouveau sur ceux-ci, un genre de SSO quoi. Mais il y a un, et un seul!, site que je n'arrive pas a ralier sous ma baniere, et le comble c'est qu'il est heberge sur une de nos becanes ! Alors je vous explique ou est le probleme: pour acceder a ce site B, heberge chez nous, l'internaute se frotte a notre proxy qui le redirige vers la becane en question qui lui sert les pages web. En effet le proxy comprend qu'en l'appelant sur le port 8080 on va direil doit rediriger la requete la ou il faut, vers le serveur du site B. Jusque la tout va bien, mais je viens de decouvrir une chose, le site en question, n'existe pas franchement... c'est en fait une application, installee sur un poste sous WinXP, qui embarque un truc du genre easyPhp et qui genere les pages web a la volee... donc aucun acces aux fichiers html/php/js pour y ajouter mon grain de sel, les boules. Et pour finir de m'achever le code source de la page d'accueil du site B m'indique que tout est genere via du javascript, le formulaire d'identification qui m'interesse dans cette demarche, le contenu des pages, genre absolument tout... Y'en a pour environ 8 mega de javascript, perso ca me fait halluciner ! Mesdames Messieurs les Gourous, par quel biais puis-je 'prendre le controle' du formulaire d'identification du site B? Mon idee est de pouvoir y modifier les value des input du formulaire puis de le 'submit' automatiquement, le tout en javascript. Et comment eviter les galeres du Same Origin Policy sachant que je pourrais installer un second serveur web pour mon site A sur la becane du site B ? Je ne sais pas par ou commencer, ni dans quelle direction aller, ni quelle fonction jscript utiliser (ultra novice en javascript) ... ! Mesdames Messieurs les gourous, HELP ! et merci !!
	00

18/11/2011, 09h40	#4
yjuliet Membre éprouvé Yvan Consultant informatique Inscription : août 2006 Messages : 360 Détails du profil Informations personnelles : Nom : Yvan Âge : 32 Localisation : France Informations professionnelles : Activité : Consultant informatique Secteur : High Tech - Produits et services télécom et Internet Informations forums : Inscription : août 2006 Messages : 360 Points : 402 Points : 402	Avec FF, tu peux analyser le code HTML généré en sélectionnant tout (Ctrl + A) puis clic droit -> afficher le code source de la sélection. Ceci te permettra d'analyser le formulaire résultant des codes JScript et de passer outre en envoyant directement les requêtes comme émanant de la page de login. __________________
	00

14/11/2011, 01h04	#2
Invité(e) Invité(e) Messages : n/a Détails du profil Informations forums : Messages : n/a Points : 0	Donc en gros : 1 serveur proxy avec IP publique, et derrière une becane sous XP avec un logiciel complètement opaque qui sert une page web à la volée qui contient un formulaire d'identification généré en jscript. Tout cela dans mes locaux, donc tout est permis !! ajout d'une becane, installation 2ème serveur apache sur la machine sous xp, modification paramètre proxy, etc etc ... Comment faire ??
	00

16/11/2011, 17h15	#3
bewidia Membre habitué Inscription : octobre 2009 Messages : 122 Détails du profil Informations forums : Inscription : octobre 2009 Messages : 122 Points : 116 Points : 116	Tu ne peux pas inspecter le code généré par le serveur en question une fois la page ouverte dans le navigateur internet ? Je ne sais pas si tu y as pensé, mais à priori trouver l'action du formulaire de soumission avec les champs requis et forger une requête depuis ton site central pour t'authentifier devrait être possible. Si même le code généré est imbuvable, tu peux installer Wireshark sur ton poste et lors de l'authentification tu essaies de trouver la trame réseau qui part vers le serveur pour en obtenir l'action et les champs.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email