|
|
|
csrf token
|
|||
|---|---|---|---|
|
#18+
всем привет,кто нибудь знает как обойти csrf защиту суть в том что взял заказ на кворке -распарсить статистику канала(заказчик и есть автор этого канала) но при анализе с удивлением обнаружил,что используется csrf защита я нашел гет запрос ,который возвращает json co статистикой при нажатии на этот запрос в интсрументе разработчика - нормально загружается xls файл копирую ссылку запроса -втыкаю в браузер - ничего я так понимаю требует csrf как лучше сделать подскажите ? у меня мысль такая сделать в приложении форму реги которая редиректит на яндекс и при реге вытащить каким то образом csrf пс.я asv_79)) тока тссс) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.11.2019, 21:47 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 суть в том что взял заказ на кворке -распарсить статистику канала(заказчик и есть автор этого канала) но при анализе с удивлением обнаружил,что используется csrf защита я нашел гет запрос ,который возвращает json co статистикой при нажатии на этот запрос в интсрументе разработчика - нормально загружается xls файл копирую ссылку запроса -втыкаю в браузер - ничего Насколько я понимаю, Вы не в теме про заголовки/куки (да, я знаю, что куки это часть заголовка)? Посмотрите на заголовок и куки запроса в браузере, который возвращает xls файл. А потом повторите всё (буква в букву) в своём коде. После этого методом тыка оставьте только нужные и читайте в гугле, что это это такое и разберитесь, как это делать самому. Некоторые куки/заголовки могут устаревать, так что не забывайте тестировать и полный вариант. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 07:37 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
Alexey Tomin apb12 суть в том что взял заказ на кворке -распарсить статистику канала(заказчик и есть автор этого канала) но при анализе с удивлением обнаружил,что используется csrf защита я нашел гет запрос ,который возвращает json co статистикой при нажатии на этот запрос в интсрументе разработчика - нормально загружается xls файл копирую ссылку запроса -втыкаю в браузер - ничего Насколько я понимаю, Вы не в теме про заголовки/куки (да, я знаю, что куки это часть заголовка)? Посмотрите на заголовок и куки запроса в браузере, который возвращает xls файл. А потом повторите всё (буква в букву) в своём коде. После этого методом тыка оставьте только нужные и читайте в гугле, что это это такое и разберитесь, как это делать самому. Некоторые куки/заголовки могут устаревать, так что не забывайте тестировать и полный вариант. я прекрасно знаю что такое заголовки,вопрос в том,как обойти scrf защиту ,cockie я подставлю,а scrf то я где возьму ,он при каждом выходе с сайта обновляется судя по всему, ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 14:03 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 Alexey Tomin пропущено... Насколько я понимаю, Вы не в теме про заголовки/куки (да, я знаю, что куки это часть заголовка)? Посмотрите на заголовок и куки запроса в браузере, который возвращает xls файл. А потом повторите всё (буква в букву) в своём коде. После этого методом тыка оставьте только нужные и читайте в гугле, что это это такое и разберитесь, как это делать самому. Некоторые куки/заголовки могут устаревать, так что не забывайте тестировать и полный вариант. я прекрасно знаю что такое заголовки,вопрос в том,как обойти scrf защиту ,cockie я подставлю,а scrf то я где возьму ,он при каждом выходе с сайта обновляется судя по всему, Ну и что мещает в одномзапросе вычитать его а вдругом отправить? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 14:09 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
забыл ник apb12 пропущено... я прекрасно знаю что такое заголовки,вопрос в том,как обойти scrf защиту ,cockie я подставлю,а scrf то я где возьму ,он при каждом выходе с сайта обновляется судя по всему, Ну и что мещает в одномзапросе вычитать его а вдругом отправить? а как я его вычитаю? я же пишу человеку парсер -который должен работать в автономном режиме и считывать статистику канала scrf отправляется только если я на их сайте сижу же если я делаю обычный запрос ,который я скопировал у них - сразу вылазит invalid scrf token ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 14:40 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
Делаешь работу - делай всю, а не только тот кусок, который тебе хочется (с)делать. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 14:49 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
Basil A. Sidorov Делаешь работу - делай всю, а не только тот кусок, который тебе хочется (с)делать. с удовольствием делаю,но к сожалению пока немного не получается понять,как мне автоматически взять куки и токен ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 15:23 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 забыл ник пропущено... Ну и что мещает в одномзапросе вычитать его а вдругом отправить? а как я его вычитаю? Ну он откуда берётся? Авторизация какая-то? Надо сделать её. Может API, может эмуляция браузера. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 16:24 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
Alexey Tomin apb12 пропущено... а как я его вычитаю? Ну он откуда берётся? Авторизация какая-то? Надо сделать её. Может API, может эмуляция браузера. смотри я авторизуююсь на яндексе -там двух шаговая авторизация первый шаг отправляет на сервер мой логин методом пост вместе с логином отправляется сгенерированый scrf токен тоесть чтобы этот токен увидеть я должен сделать авторизацию из их формы ,а не из парсера или постмана он так и называется защита от кросс сайт атак ,чтобы меньше нагружали сервер парсингом хотя как то же это обходят - ведь у людей есть рабочие парсеры вот первое обращение к серверу яндекса и как мы видим там уже есть токен ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 16:36 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 вместе с логином отправляется сгенерированый scrf токен То есть чтобы отправить ты его должен получить. Ставь сниффер и разбирай все все запрос-ответ. ... Ты без взлома можешь чем нибудь заниматься? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 17:07 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 смотри я авторизуююсь на яндексе -там двух шаговая авторизация первый шаг отправляет на сервер мой логин методом пост вместе с логином отправляется сгенерированый scrf токен Посмотри страницу авторизации: 1) CSRT токен должен быть в хедере 2) Он должен быть в hidden поле формы логина. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 17:29 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
fixxer apb12 смотри я авторизуююсь на яндексе -там двух шаговая авторизация первый шаг отправляет на сервер мой логин методом пост вместе с логином отправляется сгенерированый scrf токен Посмотри страницу авторизации: 1) CSRT токен должен быть в хедере 2) Он должен быть в hidden поле формы логина. CSRF* ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 17:30 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
PetroNotC Sharp apb12 вместе с логином отправляется сгенерированый scrf токен То есть чтобы отправить ты его должен получить. Ставь сниффер и разбирай все все запрос-ответ. ... Ты без взлома можешь чем нибудь заниматься? так это не взлом а обычный парсер все хорошо но scrf этот мешает пипец как мне интересно просто каков срок его действия? нужный мне запрост несет в себе этот токен и в куки сесию я сгенерил нормально все постманом теперь вопрос где брать все это удовольствие автоматом ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 17:45 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
fixxer apb12 смотри я авторизуююсь на яндексе -там двух шаговая авторизация первый шаг отправляет на сервер мой логин методом пост вместе с логином отправляется сгенерированый scrf токен Посмотри страницу авторизации: 1) CSRT токен должен быть в хедере 2) Он должен быть в hidden поле формы логина. все правильно он там и есть как его оттуда достать автоматом? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 17:48 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
при том что этот токен присваивается лишь из формы яндекс как же люди обходят это дело? тут либо вариант один раз прописать этот токен и сессию и уже не выходить из акк,что конечно же не устроит заказчика либо думать ,как обойти ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 17:58 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 так это не взлом а обычный парсер все хорошо но scrf этот мешает пипец как Это не взлом но замок от сейфа мешает? Суть защиты, что тебе дают спец ключик и ты все запросы с ним отправляешь. Сервер сравнивает. Нет ключика, значит это не ты. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 18:03 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 как же люди обходят это дело? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 18:05 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
PetroNotC Sharp apb12 так это не взлом а обычный парсер все хорошо но scrf этот мешает пипец как Это не взлом но замок от сейфа мешает? Суть защиты, что тебе дают спец ключик и ты все запросы с ним отправляешь. Сервер сравнивает. Нет ключика, значит это не ты. не совсем так ключик дает серверу понять что ты запрос делаешь с его сайта,а не с чужого он же так и переводится как защита от крос сайт атак тоесть это буду я,так как если бы это был не я -откуда бы я взял логин и пароль вообще конечно вариант простой - в приложении сделать возможность вводить токен и сессию проблема в том захочет ли клиент этим заморачиваться ища это у себя в браузере хотя там дел на 10 секунд мне уже чисто из спортивного интереса хочется понять как они обходят эту защиту ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 18:51 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
PetroNotC Sharp apb12 как же люди обходят это дело? ды ты смеешься чтоли))) хакеры))) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 18:51 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 не совсем так ключик дает серверу понять что ты запрос делаешь с его сайта,а не с чужого он же так и переводится как защита от крос сайт атак тоесть это буду я,так как если бы это был не я -откуда бы я взял логин и пароль apb12 ды ты смеешься чтоли))) хакеры))) А кто? Ткни пальцем. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 19:19 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 пс.я asv_79)) тока тссс) Самозабанился? Второй раз? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 20:17 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 fixxer пропущено... Посмотри страницу авторизации: 1) CSRT токен должен быть в хедере 2) Он должен быть в hidden поле формы логина. все правильно он там и есть как его оттуда достать автоматом? Просто сделай запрос на форму авторизации и сохрани токен и кукис из хедера. Потом сделай запрос на страницу статистики указав в хедерах токен и кукис от страницы авторизации. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 22:13 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
fixxer apb12 пропущено... все правильно он там и есть как его оттуда достать автоматом? Просто сделай запрос на форму авторизации и сохрани токен и кукис из хедера. Потом сделай запрос на страницу статистики указав в хедерах токен и кукис от страницы авторизации. НЕ все так просто во первых там двух этапная авторизация и помимо токена нужна сесия в куки а она дается только на втором этапе и там уже второй токен короче щас попробую как ты сказал но очень сомневаюсь что такое возможно ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 22:37 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
mayton apb12 пс.я asv_79)) тока тссс) Самозабанился? Второй раз? да ) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 22:38 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 mayton пропущено... Самозабанился? Второй раз? да ) Хулиган. А начинал как приличный JavaEE (ш)кодер. А щас? - Хакерство. Парсинг сайтов. Лотереи. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 22:49 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
fixxer apb12 пропущено... все правильно он там и есть как его оттуда достать автоматом? Просто сделай запрос на форму авторизации и сохрани токен и кукис из хедера. Потом сделай запрос на страницу статистики указав в хедерах токен и кукис от страницы авторизации. токен в хедере образуется только если запрос сделан из их формы если я делаю просто запрос постманом тут же получаю invalid scrf token ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 22:54 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
mayton apb12 пропущено... да ) Хулиган. А начинал как приличный JavaEE (ш)кодер. А щас? - Хакерство. Парсинг сайтов. Лотереи. да не хулиган,просто на эти парсеры хороший спрос - хочу сделать шаблон ,но хоть убей не пойму как они обходят эту защиту без токена сервер ничего не отдает,токен генерится в формах ,если я дублирую такой же запрос вне формы то получаю хер с маслом ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 23:13 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 mayton пропущено... Хулиган. А начинал как приличный JavaEE (ш)кодер. А щас? - Хакерство. Парсинг сайтов. Лотереи. да не хулиган,просто на эти парсеры хороший спрос - хочу сделать шаблон ,но хоть убей не пойму как они обходят эту защиту без токена сервер ничего не отдает,токен генерится в формах ,если я дублирую такой же запрос вне формы то получаю хер с маслом Я не знаю как фиксить твою беду. UI-ные техники - это не моё. Но я-бы поставил первым делом https://www.wireshark.org/ И в течение некоторого времени походил-бы браузером и понаблюдал-бы трафик в текстовом виде. Скорее всего там действительно работает какая-то защита от дурака но тебе недостаточно средств браузера чтобы ее видеть. Возможно надо видеть стек глубже включая SSL/TLS события. Вайр-шарк их должен по идее показать. После этого твоё Java-приложение должно генерировать ТОЧНО такой-же трафик. Такие-же запросы и ответы как и браузер с приложением и с секретным протоколом. Сравни потом два лога и увидешь расхождения. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 23:24 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
mayton apb12 пропущено... да не хулиган,просто на эти парсеры хороший спрос - хочу сделать шаблон ,но хоть убей не пойму как они обходят эту защиту без токена сервер ничего не отдает,токен генерится в формах ,если я дублирую такой же запрос вне формы то получаю хер с маслом Я не знаю как фиксить твою беду. UI-ные техники - это не моё. Но я-бы поставил первым делом https://www.wireshark.org/ И в течение некоторого времени походил-бы браузером и понаблюдал-бы трафик в текстовом виде. Скорее всего там действительно работает какая-то защита от дурака но тебе недостаточно средств браузера чтобы ее видеть. Возможно надо видеть стек глубже включая SSL/TLS события. Вайр-шарк их должен по идее показать. После этого твоё Java-приложение должно генерировать ТОЧНО такой-же трафик. Такие-же запросы и ответы как и браузер с приложением и с секретным протоколом. Сравни потом два лога и увидешь расхождения. там обычная защита от крос сайтовых атак ,заключается в том что при отправке любого запроса с их сайта генерится уникальный токен,который уходит вместе с запросом на сервер,там происходит проверка если легитимный токен -происходит ответ сервера,ЕСЛИ нет токена или просроченый получишь json invalid scrf token у меня у самого на всех сайтах такая защита стоит на те запросы,которые я не хочу получать ботов парсеров - я ставлю scrf токен ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 23:39 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
Так что? Мы констатируем что мы - не знаем что происходит? Чудо-чудное? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 02:03 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 mayton пропущено... Хулиган. А начинал как приличный JavaEE (ш)кодер. А щас? - Хакерство. Парсинг сайтов. Лотереи. да не хулиган,просто на эти парсеры хороший спрос - хочу сделать шаблон ,но хоть убей не пойму как они обходят эту защиту без токена сервер ничего не отдает,токен генерится в формах ,если я дублирую такой же запрос вне формы то получаю хер с маслом А ты hidden поле с токеном отправляешь, когда эмулируешь отсылку формы? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 02:42 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
mayton Так что? Мы констатируем что мы - не знаем что происходит? Чудо-чудное? пока можно константировать, что автор взял работу (оплачиваемую?) в которой не разбирается, а делать ее предлагает совместно всему форуму исходя из этого, мне кажется топик давно должны были в подфорум Работа перенести ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 02:46 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 хочу сделать Бла бла бла. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 07:14 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 отправляет на сервер мой логин методом пост Нет :) Первый шаг- отправить запрос GET на адрес https://passport.yandex.ru/auth - и вот тут ответ содержит нужные куки. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 07:20 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
Alexey Tomin, отправил - вижу в форме токен) щас попробую его извлечь и две нужные куки далее я должен два раза сэмулировать отравку логина и пароля с нужными кукями и наконец то смогу добраться до нужного мне урла ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 10:14 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 отправил - вижу в форме токен) щас попробую его извлечь и две нужные куки далее я должен два раза сэмулировать отравку логина и пароля с нужными кукями и наконец то смогу добраться до нужного мне урла Ну вот теперь Вы в теме кук и заголовков :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 11:26 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
Alexey Tomin, теперь нужно победить вот этот момент) я получаю в теле вот такой html Код: html 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. нужно добраться до этого токена) пока чего то не получается) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 11:31 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
Alexey Tomin apb12 отправил - вижу в форме токен) щас попробую его извлечь и две нужные куки далее я должен два раза сэмулировать отравку логина и пароля с нужными кукями и наконец то смогу добраться до нужного мне урла Ну вот теперь Вы в теме кук и заголовков :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 11:45 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
добрался таки ) и вот это только начало и за это платят 2400 рублей а ведь еще надо все в базу записать сделать графику ,интерфейс,аналитику толи я в этой жизни чего то не понимаю,то ли фрилансеры свой труд вообще не ценят ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 11:45 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12, У тебя недавно был заказчик тупой. Теперь фрилансеры). Как у Высоцкого, обнаженные нервы у тебя)) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 11:48 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
PetroNotC Sharp apb12, У тебя недавно был заказчик тупой. Теперь фрилансеры). Как у Высоцкого, обнаженные нервы у тебя)) может ты и прав)) пс.вытащил пока куки и токен,сейчас пробую сэмулировать форму ,беда в том что там двух шаговая авторизация но посмотрим щас что к чему ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 12:13 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 толи я в этой жизни чего то не понимаю,то ли фрилансеры свой труд вообще не ценят Ну так это обучение идёт. Фрилансерам за обучение на платят. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 13:16 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
Alexey Tomin apb12 толи я в этой жизни чего то не понимаю,то ли фрилансеры свой труд вообще не ценят Ну так это обучение идёт. Фрилансерам за обучение на платят. согласен но разве вот такое приложение ОБход авторизации парсинг по времени с возможностью настройки интервала аналитика по изменениям и графический уи база данных савтоматическим удалением по выбранным интервалам вот разве все это 2400? да даже опытный джавист такое будет писать пару дней + плюсом сюда идет и фронт и базы ну я конечно пока в расценках не силен,но кажется это даже ниже чем таксист в день получает ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 13:28 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
по поводу темы сгенерировал форму ,положил туда куки,логин,и токен в ответ пришел джейсон ,такой же как и если бы я на странице в форме ввел а где взять новые куки и новый токен,чтобы сделать последний шаг в авторизации-отправка пароля на сайте в тулзе разраба эти куки видны ,а в респонсе их нет почему то ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 13:33 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
и еще в джейсоне сам токен scrf неполный в форме он выглядел вот так sfs12312232d :123124353 а в джейсоне прилетает вот только передняя часть sfs12312232d странно вообщем ,чего то не хватает ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 13:38 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
Народ помогите что не так не пойму сначала захожу на страницу авторизации и из формы беру токен и куки Код: java 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 15:07 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12, Это как диссертация. Там написать - не сильно большая проблема. Вот защитить и получить бабло. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 15:07 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
Далее я в форму кладу то что получил-токен,куки и ввожу логин Код: java 1. 2. 3. 4. 5. 6. 7. в ответ мне приходит json-он точно такой же ,как и если бы я просто ввел свой логин на странице яндекса но вот далее загвоздка -мне нужно отправлять пароль- и тут загвоздка где взять новый токен и новые куки в json ,который прилетает после ввода логина выглядит вот так Код: xml 1. а если вводить логин черех форму сайта - там видно куча куки и хедеров - в том же ответе что получаю я -ничего нет ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 15:14 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
тоесть получается в первый раз ,когда я обращался к странице авторизации - я получал html страницу внутри которой уже лежала форма с токеном и в респонсе лежали нужные куки сейчас же отправляя форму руками - я получаю лишь json в ответ вопрос как получить все остальное куки и форму новую ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 15:22 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 тоесть получается в первый раз ,когда я обращался к странице авторизации - я получал html страницу внутри которой уже лежала форма с токеном и в респонсе лежали нужные куки сейчас же отправляя форму руками - я получаю лишь json в ответ вопрос как получить все остальное куки и форму новую короче фиг его знает как делать 1 шаг нормально ввожу логин получаю норм ответ сервера в виде джейсон 2.в новую форму нужно вводить одно поле из этого джейсона парль токен и куки токен я получил просто перегрузив страницу с формой и распарсил ее но вот где куки то взять там отлетает порядка 26 кукишей ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 16:27 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12, Сниффер и тупо повторять. Ты уже делал. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 16:44 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
PetroNotC Sharp apb12, Сниффер и тупо повторять. Ты уже делал. хорошо опробую сегодня под пивко) да я уже пролетел по срокам ,взялся -думал там обычный парсер,а там защита стоит,как говорится поспешил)) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 17:11 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 PetroNotC Sharp apb12, Сниффер и тупо повторять. Ты уже делал. хорошо опробую сегодня под пивко) да я уже пролетел по срокам ,взялся -думал там обычный парсер,а там защита стоит,как говорится поспешил)) Да нет там никакой защиты. У мордокниги есть защита. У одноглазников немного. А тут- простейшие вещи, большинство либ решает (они хранят куки между запросами). ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 18:09 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
куки самому запостить => 1-на строчка в коде (header'е запроса) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 18:11 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
Leonid Kudryavtsev куки самому запостить => 1-на строчка в коде (header'е запроса) чтобы их запостить их нужно извлечь если в первом шаге в форму воода логина я нашел откуда их взять и токен тоже ,то на втором шаге заминка вышла,в респонсе только джейсон и ничего более ,нет ни куки ,ни токена проблема возникает на последнем шаге ввода пароля ,так как после того как я ввел логин форма обновляется - соотвественно во вторую форму мне нужны и куки и новый токен - где их взять непонятно после ввода логина в респонсе только джейсон ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 18:49 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
Alexey Tomin А тут- простейшие вещи, большинство либ решает (они хранят куки между запросами). хорошо ну и как тогда мне получить куки и токен в интервале после того как я ввел логин -форма обновилась токен уже просрочен я проверял,нужен новый и нужно много куки-которые я вижу в девтуле ,но не вижу в респонсе и еще где либо если есть решение какое то подскажите ,у меня проект горит -не удобно перед людьми и в гуглах ничего не смог найти ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 18:52 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 так как после того как я ввел логин форма обновляется - соотвественно во вторую форму По прежнему ждем сниффер. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 19:09 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
PetroNotC Sharp apb12 так как после того как я ввел логин форма обновляется - соотвественно во вторую форму По прежнему ждем сниффер. форма обновляется немного в другую ,В перой же логин вводится во второй пароль там я в девтулзе посмотрел одно нажатие кнопки при вводе пароля отправялет 3-4 пост запроса-я даже разбираться в этом не хочу за 2400) у меня щас заказ на систему удаленного тестирования а она точь в точь как моя прога по тестированию джава только добавить чтение пдф файлов и по мелочам переделать =40 тыр в карман так что раз не получилось сегодня с парсером я эту ситуацию отпускаю,тем более у нас стартанул наконец то на работе мой проект ,а там агиле/скрум ,булки некогда будет рассслабить,учитывая что это легаси на 5й -6й джаве плюс в разработке более 50 разрозненных групп в итоге все это приводит к тому,ЧТО одни сделали,ДРугие ждут смежников 2 месяца и от этого жопа горит у них ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 19:21 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
ребят подскажите такой вопрос - так как ни разу не отадвал конечный продукт пользователю в каком виде он отдается сейчс у меня полноценное веб приложение с базой и вебинтерфейсом как это все отдать пользователю ? в виде сорцов ? я же не знаю где он захочет разворачивать это приложение ,не знаю адрес и порт его базы и вообще есть ли она у него тоесть у заказчика должен быть человек который сможет залезть в сорцы -прописать свои проперти и развернуть приложение ,там где ему нужно ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.11.2019, 10:04 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12, Инструкция по эксплуатации. Ворд. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.11.2019, 10:11 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
Возьми доплату за админство + сопровождение тех поддержка apb12 адрес и порт его базы ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.11.2019, 10:14 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
PetroNotC Sharp Возьми доплату за админство + сопровождение тех поддержка apb12 адрес и порт его базы там нет веб.xml это спрингбут-там апликейшн проперти ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.11.2019, 10:17 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12, Тогда туда. Их не знаю)) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.11.2019, 10:46 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12, конфигурация должны быть отдельно, а не в сорцах... сорцы отдавать конечно тоже надо, но править их заказчик не должен и собирать, для того, чтобы развернуть приложение ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.11.2019, 12:11 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
Дмитрий Мух apb12, конфигурация должны быть отдельно, а не в сорцах... сорцы отдавать конечно тоже надо, но править их заказчик не должен и собирать, для того, чтобы развернуть приложение всмысле отдельно? я ему отдаю war ,внутри которого же будет включен аплкейшн проперти или я чего то путаю? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.11.2019, 15:53 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 Дмитрий Мух apb12, конфигурация должны быть отдельно, а не в сорцах... сорцы отдавать конечно тоже надо, но править их заказчик не должен и собирать, для того, чтобы развернуть приложение всмысле отдельно? я ему отдаю war ,внутри которого же будет включен аплкейшн проперти или я чего то путаю? То есть чтобы ему поменять пропертис ему надо распаковать варку, проапдейтить проперти и пересобрать(наверное предполагается через командную строку) ) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.11.2019, 17:21 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
У Спринг-бута - с десяток способов как передать параметры. Мне кажется удобным перекрыть параметр -Dspring.config.location = и конфигурить соотвественно через Yaml-файл все что нужно. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.11.2019, 17:32 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
забыл ник apb12 пропущено... всмысле отдельно? я ему отдаю war ,внутри которого же будет включен аплкейшн проперти или я чего то путаю? То есть чтобы ему поменять пропертис ему надо распаковать варку, проапдейтить проперти и пересобрать(наверное предполагается через командную строку) ) ))) да я вот тоже думаю что то тут не то) я просто всю жизнь в идее проекты веду,ХРен его знает как там на прод отдавать) тоейть получается идет варник и к нему апликейшн проперти? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.11.2019, 22:29 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
mayton У Спринг-бута - с десяток способов как передать параметры. Мне кажется удобным перекрыть параметр -Dspring.config.location = и конфигурить соотвественно через Yaml-файл все что нужно. вообще вроде как то как типо делают java -jar Foo.war -D tvoya propert ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.11.2019, 22:30 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
-D это вообще к Спрингу отношения не имеет. Это стандартная опция java-runtime. Вы можете всегда использовать эту опцию чтобы перегружать кодовые страницы локали и прочие переменные окружения. Это свойство еще выше по уровню стоит чем SpringApp. Например - поменять страну на Гондурас и язык на Албанский Код: java 1. Еще выше - идут ENV операционной системы. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.11.2019, 22:47 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 забыл ник пропущено... То есть чтобы ему поменять пропертис ему надо распаковать варку, проапдейтить проперти и пересобрать(наверное предполагается через командную строку) ) ))) да я вот тоже думаю что то тут не то) я просто всю жизнь в идее проекты веду,ХРен его знает как там на прод отдавать) тоейть получается идет варник и к нему апликейшн проперти? Ну от компетенции заказчика зависит и от того что он попросит. Кому-то инсталлер нужен, кому то инструкция по установке и эксплуатации, кому-то баш скрипт, а кому-то сорцов достаточно. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 29.11.2019, 01:37 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
Вообще-то, среда на которой должно выполняться приложение, должна была быть описана до выставлеия задания У кого-то полноценный VPS сервер, а кто-то данные умудряется на бесплатном Google Docs обрабатывать (даже в бесплатный Google Docs, как оказывается, можно плагины подключать - только я не умею) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 29.11.2019, 15:15 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
Leonid Kudryavtsev Вообще-то, среда на которой должно выполняться приложение, должна была быть описана до выставлеия задания У кого-то полноценный VPS сервер, а кто-то данные умудряется на бесплатном Google Docs обрабатывать (даже в бесплатный Google Docs, как оказывается, можно плагины подключать - только я не умею) ценная мысль как ни странно.Надо будет уточнить пс.Да я чую шо не буду брать этот заказ,так как меня подключили наконец то к основной работе,а там жёпа,если даже склонить проект это геморой,который занял 1.5 дня ,и теперь неизвестно сколько чтобы хотя бы gradlew run без ршибок завелся а так как я еще ни разу в жизни не учавствовал в коллективной разработке - сижу тупо как дурак там ничего не понимаю) а сегодня блин зафейлился - у проекта jdk 8 у меня 12 поставил 8ку,но в джава хоум один лишний дефис написал и бился часов 5 чтобы понять что за бред,градл команды все отваливаются - типо нет джава хоума конечно странное оно это современное программирование) 99% времени пытаешься запустить чужое легаси и понять как оно вообще еще работает)) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 29.11.2019, 18:53 |
|
||
|
|
start [/forum/topic.php?all=1&fid=59&tid=2121008]: |
0ms |
get settings: |
10ms |
get forum list: |
14ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
198ms |
get topic data: |
12ms |
get forum data: |
3ms |
get page messages: |
98ms |
get tp. blocked users: |
2ms |
| others: | 13ms |
| total: | 358ms |
| 0 / 0 |
