|
csrf token
|
|||
---|---|---|---|
#18+
всем привет,кто нибудь знает как обойти csrf защиту суть в том что взял заказ на кворке -распарсить статистику канала(заказчик и есть автор этого канала) но при анализе с удивлением обнаружил,что используется csrf защита я нашел гет запрос ,который возвращает json co статистикой при нажатии на этот запрос в интсрументе разработчика - нормально загружается xls файл копирую ссылку запроса -втыкаю в браузер - ничего я так понимаю требует csrf как лучше сделать подскажите ? у меня мысль такая сделать в приложении форму реги которая редиректит на яндекс и при реге вытащить каким то образом csrf пс.я asv_79)) тока тссс) ... |
|||
:
Нравится:
Не нравится:
|
|||
25.11.2019, 21:47 |
|
csrf token
|
|||
---|---|---|---|
#18+
apb12 суть в том что взял заказ на кворке -распарсить статистику канала(заказчик и есть автор этого канала) но при анализе с удивлением обнаружил,что используется csrf защита я нашел гет запрос ,который возвращает json co статистикой при нажатии на этот запрос в интсрументе разработчика - нормально загружается xls файл копирую ссылку запроса -втыкаю в браузер - ничего Насколько я понимаю, Вы не в теме про заголовки/куки (да, я знаю, что куки это часть заголовка)? Посмотрите на заголовок и куки запроса в браузере, который возвращает xls файл. А потом повторите всё (буква в букву) в своём коде. После этого методом тыка оставьте только нужные и читайте в гугле, что это это такое и разберитесь, как это делать самому. Некоторые куки/заголовки могут устаревать, так что не забывайте тестировать и полный вариант. ... |
|||
:
Нравится:
Не нравится:
|
|||
26.11.2019, 07:37 |
|
csrf token
|
|||
---|---|---|---|
#18+
Alexey Tomin apb12 суть в том что взял заказ на кворке -распарсить статистику канала(заказчик и есть автор этого канала) но при анализе с удивлением обнаружил,что используется csrf защита я нашел гет запрос ,который возвращает json co статистикой при нажатии на этот запрос в интсрументе разработчика - нормально загружается xls файл копирую ссылку запроса -втыкаю в браузер - ничего Насколько я понимаю, Вы не в теме про заголовки/куки (да, я знаю, что куки это часть заголовка)? Посмотрите на заголовок и куки запроса в браузере, который возвращает xls файл. А потом повторите всё (буква в букву) в своём коде. После этого методом тыка оставьте только нужные и читайте в гугле, что это это такое и разберитесь, как это делать самому. Некоторые куки/заголовки могут устаревать, так что не забывайте тестировать и полный вариант. я прекрасно знаю что такое заголовки,вопрос в том,как обойти scrf защиту ,cockie я подставлю,а scrf то я где возьму ,он при каждом выходе с сайта обновляется судя по всему, ... |
|||
:
Нравится:
Не нравится:
|
|||
26.11.2019, 14:03 |
|
csrf token
|
|||
---|---|---|---|
#18+
apb12 Alexey Tomin пропущено... Насколько я понимаю, Вы не в теме про заголовки/куки (да, я знаю, что куки это часть заголовка)? Посмотрите на заголовок и куки запроса в браузере, который возвращает xls файл. А потом повторите всё (буква в букву) в своём коде. После этого методом тыка оставьте только нужные и читайте в гугле, что это это такое и разберитесь, как это делать самому. Некоторые куки/заголовки могут устаревать, так что не забывайте тестировать и полный вариант. я прекрасно знаю что такое заголовки,вопрос в том,как обойти scrf защиту ,cockie я подставлю,а scrf то я где возьму ,он при каждом выходе с сайта обновляется судя по всему, Ну и что мещает в одномзапросе вычитать его а вдругом отправить? ... |
|||
:
Нравится:
Не нравится:
|
|||
26.11.2019, 14:09 |
|
csrf token
|
|||
---|---|---|---|
#18+
забыл ник apb12 пропущено... я прекрасно знаю что такое заголовки,вопрос в том,как обойти scrf защиту ,cockie я подставлю,а scrf то я где возьму ,он при каждом выходе с сайта обновляется судя по всему, Ну и что мещает в одномзапросе вычитать его а вдругом отправить? а как я его вычитаю? я же пишу человеку парсер -который должен работать в автономном режиме и считывать статистику канала scrf отправляется только если я на их сайте сижу же если я делаю обычный запрос ,который я скопировал у них - сразу вылазит invalid scrf token ... |
|||
:
Нравится:
Не нравится:
|
|||
26.11.2019, 14:40 |
|
csrf token
|
|||
---|---|---|---|
#18+
Делаешь работу - делай всю, а не только тот кусок, который тебе хочется (с)делать. ... |
|||
:
Нравится:
Не нравится:
|
|||
26.11.2019, 14:49 |
|
csrf token
|
|||
---|---|---|---|
#18+
Basil A. Sidorov Делаешь работу - делай всю, а не только тот кусок, который тебе хочется (с)делать. с удовольствием делаю,но к сожалению пока немного не получается понять,как мне автоматически взять куки и токен ... |
|||
:
Нравится:
Не нравится:
|
|||
26.11.2019, 15:23 |
|
csrf token
|
|||
---|---|---|---|
#18+
apb12 забыл ник пропущено... Ну и что мещает в одномзапросе вычитать его а вдругом отправить? а как я его вычитаю? Ну он откуда берётся? Авторизация какая-то? Надо сделать её. Может API, может эмуляция браузера. ... |
|||
:
Нравится:
Не нравится:
|
|||
26.11.2019, 16:24 |
|
csrf token
|
|||
---|---|---|---|
#18+
Alexey Tomin apb12 пропущено... а как я его вычитаю? Ну он откуда берётся? Авторизация какая-то? Надо сделать её. Может API, может эмуляция браузера. смотри я авторизуююсь на яндексе -там двух шаговая авторизация первый шаг отправляет на сервер мой логин методом пост вместе с логином отправляется сгенерированый scrf токен тоесть чтобы этот токен увидеть я должен сделать авторизацию из их формы ,а не из парсера или постмана он так и называется защита от кросс сайт атак ,чтобы меньше нагружали сервер парсингом хотя как то же это обходят - ведь у людей есть рабочие парсеры вот первое обращение к серверу яндекса и как мы видим там уже есть токен ... |
|||
:
Нравится:
Не нравится:
|
|||
26.11.2019, 16:36 |
|
csrf token
|
|||
---|---|---|---|
#18+
apb12 вместе с логином отправляется сгенерированый scrf токен То есть чтобы отправить ты его должен получить. Ставь сниффер и разбирай все все запрос-ответ. ... Ты без взлома можешь чем нибудь заниматься? ... |
|||
:
Нравится:
Не нравится:
|
|||
26.11.2019, 17:07 |
|
csrf token
|
|||
---|---|---|---|
#18+
apb12 смотри я авторизуююсь на яндексе -там двух шаговая авторизация первый шаг отправляет на сервер мой логин методом пост вместе с логином отправляется сгенерированый scrf токен Посмотри страницу авторизации: 1) CSRT токен должен быть в хедере 2) Он должен быть в hidden поле формы логина. ... |
|||
:
Нравится:
Не нравится:
|
|||
26.11.2019, 17:29 |
|
csrf token
|
|||
---|---|---|---|
#18+
fixxer apb12 смотри я авторизуююсь на яндексе -там двух шаговая авторизация первый шаг отправляет на сервер мой логин методом пост вместе с логином отправляется сгенерированый scrf токен Посмотри страницу авторизации: 1) CSRT токен должен быть в хедере 2) Он должен быть в hidden поле формы логина. CSRF* ... |
|||
:
Нравится:
Не нравится:
|
|||
26.11.2019, 17:30 |
|
csrf token
|
|||
---|---|---|---|
#18+
PetroNotC Sharp apb12 вместе с логином отправляется сгенерированый scrf токен То есть чтобы отправить ты его должен получить. Ставь сниффер и разбирай все все запрос-ответ. ... Ты без взлома можешь чем нибудь заниматься? так это не взлом а обычный парсер все хорошо но scrf этот мешает пипец как мне интересно просто каков срок его действия? нужный мне запрост несет в себе этот токен и в куки сесию я сгенерил нормально все постманом теперь вопрос где брать все это удовольствие автоматом ... |
|||
:
Нравится:
Не нравится:
|
|||
26.11.2019, 17:45 |
|
csrf token
|
|||
---|---|---|---|
#18+
fixxer apb12 смотри я авторизуююсь на яндексе -там двух шаговая авторизация первый шаг отправляет на сервер мой логин методом пост вместе с логином отправляется сгенерированый scrf токен Посмотри страницу авторизации: 1) CSRT токен должен быть в хедере 2) Он должен быть в hidden поле формы логина. все правильно он там и есть как его оттуда достать автоматом? ... |
|||
:
Нравится:
Не нравится:
|
|||
26.11.2019, 17:48 |
|
csrf token
|
|||
---|---|---|---|
#18+
при том что этот токен присваивается лишь из формы яндекс как же люди обходят это дело? тут либо вариант один раз прописать этот токен и сессию и уже не выходить из акк,что конечно же не устроит заказчика либо думать ,как обойти ... |
|||
:
Нравится:
Не нравится:
|
|||
26.11.2019, 17:58 |
|
csrf token
|
|||
---|---|---|---|
#18+
apb12 так это не взлом а обычный парсер все хорошо но scrf этот мешает пипец как Это не взлом но замок от сейфа мешает? Суть защиты, что тебе дают спец ключик и ты все запросы с ним отправляешь. Сервер сравнивает. Нет ключика, значит это не ты. ... |
|||
:
Нравится:
Не нравится:
|
|||
26.11.2019, 18:03 |
|
csrf token
|
|||
---|---|---|---|
#18+
apb12 как же люди обходят это дело? ... |
|||
:
Нравится:
Не нравится:
|
|||
26.11.2019, 18:05 |
|
csrf token
|
|||
---|---|---|---|
#18+
PetroNotC Sharp apb12 так это не взлом а обычный парсер все хорошо но scrf этот мешает пипец как Это не взлом но замок от сейфа мешает? Суть защиты, что тебе дают спец ключик и ты все запросы с ним отправляешь. Сервер сравнивает. Нет ключика, значит это не ты. не совсем так ключик дает серверу понять что ты запрос делаешь с его сайта,а не с чужого он же так и переводится как защита от крос сайт атак тоесть это буду я,так как если бы это был не я -откуда бы я взял логин и пароль вообще конечно вариант простой - в приложении сделать возможность вводить токен и сессию проблема в том захочет ли клиент этим заморачиваться ища это у себя в браузере хотя там дел на 10 секунд мне уже чисто из спортивного интереса хочется понять как они обходят эту защиту ... |
|||
:
Нравится:
Не нравится:
|
|||
26.11.2019, 18:51 |
|
csrf token
|
|||
---|---|---|---|
#18+
PetroNotC Sharp apb12 как же люди обходят это дело? ды ты смеешься чтоли))) хакеры))) ... |
|||
:
Нравится:
Не нравится:
|
|||
26.11.2019, 18:51 |
|
csrf token
|
|||
---|---|---|---|
#18+
apb12 не совсем так ключик дает серверу понять что ты запрос делаешь с его сайта,а не с чужого он же так и переводится как защита от крос сайт атак тоесть это буду я,так как если бы это был не я -откуда бы я взял логин и пароль apb12 ды ты смеешься чтоли))) хакеры))) А кто? Ткни пальцем. ... |
|||
:
Нравится:
Не нравится:
|
|||
26.11.2019, 19:19 |
|
csrf token
|
|||
---|---|---|---|
#18+
apb12 пс.я asv_79)) тока тссс) Самозабанился? Второй раз? ... |
|||
:
Нравится:
Не нравится:
|
|||
26.11.2019, 20:17 |
|
csrf token
|
|||
---|---|---|---|
#18+
apb12 fixxer пропущено... Посмотри страницу авторизации: 1) CSRT токен должен быть в хедере 2) Он должен быть в hidden поле формы логина. все правильно он там и есть как его оттуда достать автоматом? Просто сделай запрос на форму авторизации и сохрани токен и кукис из хедера. Потом сделай запрос на страницу статистики указав в хедерах токен и кукис от страницы авторизации. ... |
|||
:
Нравится:
Не нравится:
|
|||
26.11.2019, 22:13 |
|
csrf token
|
|||
---|---|---|---|
#18+
fixxer apb12 пропущено... все правильно он там и есть как его оттуда достать автоматом? Просто сделай запрос на форму авторизации и сохрани токен и кукис из хедера. Потом сделай запрос на страницу статистики указав в хедерах токен и кукис от страницы авторизации. НЕ все так просто во первых там двух этапная авторизация и помимо токена нужна сесия в куки а она дается только на втором этапе и там уже второй токен короче щас попробую как ты сказал но очень сомневаюсь что такое возможно ... |
|||
:
Нравится:
Не нравится:
|
|||
26.11.2019, 22:37 |
|
csrf token
|
|||
---|---|---|---|
#18+
mayton apb12 пс.я asv_79)) тока тссс) Самозабанился? Второй раз? да ) ... |
|||
:
Нравится:
Не нравится:
|
|||
26.11.2019, 22:38 |
|
|
start [/forum/topic.php?fid=59&msg=39894751&tid=2121008]: |
0ms |
get settings: |
7ms |
get forum list: |
7ms |
check forum access: |
1ms |
check topic access: |
1ms |
track hit: |
35ms |
get topic data: |
3ms |
get forum data: |
1ms |
get page messages: |
445ms |
get tp. blocked users: |
0ms |
others: | 7ms |
total: | 507ms |
0 / 0 |