Cross Domain Fever !

Version imprimable

12/11/2011, 00h19
Invité(e)

Cross Domain Fever !

J'invoque les gourous du javascript pour venir a bout de mes demons !

Dans les grandes lignes je realise un site web A, pour le gentil personnel de ma boite qui a des besoins meme une fois rentre a la maison, et qui apres identification leur permettra d'acceder a d'autres sites web (genre boite mail etc...) sans avoir a s'identifier de nouveau sur ceux-ci, un genre de SSO quoi.

Mais il y a un, et un seul!, site que je n'arrive pas a ralier sous ma baniere, et le comble c'est qu'il est heberge sur une de nos becanes !

Alors je vous explique ou est le probleme:

pour acceder a ce site B, heberge chez nous, l'internaute se frotte a notre proxy qui le redirige vers la becane en question qui lui sert les pages web. En effet le proxy comprend qu'en l'appelant sur le port 8080 on va direil doit rediriger la requete la ou il faut, vers le serveur du site B.

Jusque la tout va bien, mais je viens de decouvrir une chose, le site en question, n'existe pas franchement... c'est en fait une application, installee sur un poste sous WinXP, qui embarque un truc du genre easyPhp et qui genere les pages web a la volee... donc aucun acces aux fichiers html/php/js pour y ajouter mon grain de sel, les boules.

Et pour finir de m'achever le code source de la page d'accueil du site B m'indique que tout est genere via du javascript, le formulaire d'identification qui m'interesse dans cette demarche, le contenu des pages, genre absolument tout...

Y'en a pour environ 8 mega de javascript, perso ca me fait halluciner !

Mesdames Messieurs les Gourous, par quel biais puis-je 'prendre le controle' du formulaire d'identification du site B? Mon idee est de pouvoir y modifier les value des input du formulaire puis de le 'submit' automatiquement, le tout en javascript.

Et comment eviter les galeres du Same Origin Policy sachant que je pourrais installer un second serveur web pour mon site A sur la becane du site B ?

Je ne sais pas par ou commencer, ni dans quelle direction aller, ni quelle fonction jscript utiliser (ultra novice en javascript) ... !

Mesdames Messieurs les gourous, HELP ! et merci !!
14/11/2011, 01h04
Invité(e)

Donc en gros :

1 serveur proxy avec IP publique,

et derrière une becane sous XP avec un logiciel complètement opaque qui sert une page web à la volée qui contient un formulaire d'identification généré en jscript.

Tout cela dans mes locaux, donc tout est permis !! ajout d'une becane, installation 2ème serveur apache sur la machine sous xp, modification paramètre proxy, etc etc ...

Comment faire ??
16/11/2011, 17h15
bewidia

Tu ne peux pas inspecter le code généré par le serveur en question une fois la page ouverte dans le navigateur internet ?
Je ne sais pas si tu y as pensé, mais à priori trouver l'action du formulaire de soumission avec les champs requis et forger une requête depuis ton site central pour t'authentifier devrait être possible.

Si même le code généré est imbuvable, tu peux installer Wireshark sur ton poste et lors de l'authentification tu essaies de trouver la trame réseau qui part vers le serveur pour en obtenir l'action et les champs.
18/11/2011, 09h40
yjuliet

Avec FF, tu peux analyser le code HTML généré en sélectionnant tout (Ctrl + A) puis clic droit -> afficher le code source de la sélection.

Ceci te permettra d'analyser le formulaire résultant des codes JScript et de passer outre en envoyant directement les requêtes comme émanant de la page de login.