Accesso automatico SSL [chiuso]

0

C'è un sito HTTPS che devo visitare molto spesso. Sfortunatamente, la finestra di login sembra essere una sorta di popup CSS che si apre solo dopo aver premuto un determinato pulsante di menu su quel sito. Questo è probabilmente il motivo per cui Chrome non offre il salvataggio del nome utente e della password per questo sito. Quindi, sono sempre costretto a reinserire il nome utente e la password che è davvero fastidioso perché ho bisogno di visitare questo sito molto spesso.

Quindi sto cercando soluzioni alternative a questo problema. Ai vecchi tempi, si poteva semplicemente cercare lo script CGI o PHP che gestiva il login e quindi chiamare direttamente lo script di login incollando l'URL appropriato nel browser in questo modo

 http://www.example.com/cgi-bin/login.cgi?user=foo&pwd=bar

Tuttavia, il sito in cui voglio effettuare l'accesso utilizza automaticamente HTTPS e molto, molto JavaScript e probabilmente altre tecnologie moderne di cui non so nulla. Il codice HTML ha molti riferimenti a script esterni e il JavaScript sembra essere stato offuscato quindi non trovo il codice per il pulsante "Login" senza problemi.

Ecco perché vorrei fare questa domanda prima di perdere un sacco di tempo per niente. Quindi qualcuno può dirmi se è possibile scoprire cosa succede quando l'utente preme il pulsante "Login" e poi emulare questo chiamando direttamente il rispettivo script incollando un URL nel browser? O una cosa del genere non è più possibile a causa di SSL?

In questo caso, c'è un altro modo per automatizzare la procedura di accesso per questo particolare sito o sono davvero obbligato a reinserire username e password ogni volta, il che è davvero fastidioso?

    
posta Andreas 24.08.2017 - 17:00
fonte

1 risposta

1

Non c'è modo di saperlo senza scavare. Tuttavia, la parte SSL non ha molta importanza. Ci sono altri problemi che potrebbero rendere impossibile questo però. Per citarne solo un paio:

  1. Se il modulo di accesso è protetto dagli attacchi CSRF, allora tu in particolare non sarà in grado di incollare un URL nel browser barra degli indirizzi e login. La protezione CSRF arresta quel tipo esatto di comportamento
  2. Se il sito Web utilizza una moderna app front-end che comunica con il server esclusivamente tramite chiamate API, un semplice accesso non lo farebbe comunque. Piuttosto, il modulo di accesso sta eseguendo una richiesta API per recuperare una chiave di autorizzazione di qualche tipo, che viene quindi archiviata nell'applicazione front-end. Di conseguenza, anche se potessi postare manualmente il modulo di accesso, questo non ti farebbe del bene. Invece, la risposta deve essere ricevuta dall'applicazione front-end per inizializzarsi.

Questo è solo due in cima alla mia testa. In sostanza, ci sono sicuramente alcuni casi in cui ciò che stai cercando di fare sarà impossibile. Indipendentemente dal fatto che questa particolare istanza sia o meno indovinata da chiunque.

    
risposta data 24.08.2017 - 18:48
fonte

Leggi altre domande sui tag