|
|
|
csrf token
|
|||
|---|---|---|---|
|
#18+
fixxer apb12 пропущено... все правильно он там и есть как его оттуда достать автоматом? Просто сделай запрос на форму авторизации и сохрани токен и кукис из хедера. Потом сделай запрос на страницу статистики указав в хедерах токен и кукис от страницы авторизации. токен в хедере образуется только если запрос сделан из их формы если я делаю просто запрос постманом тут же получаю invalid scrf token ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 22:54 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
mayton apb12 пропущено... да ) Хулиган. А начинал как приличный JavaEE (ш)кодер. А щас? - Хакерство. Парсинг сайтов. Лотереи. да не хулиган,просто на эти парсеры хороший спрос - хочу сделать шаблон ,но хоть убей не пойму как они обходят эту защиту без токена сервер ничего не отдает,токен генерится в формах ,если я дублирую такой же запрос вне формы то получаю хер с маслом ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 23:13 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 mayton пропущено... Хулиган. А начинал как приличный JavaEE (ш)кодер. А щас? - Хакерство. Парсинг сайтов. Лотереи. да не хулиган,просто на эти парсеры хороший спрос - хочу сделать шаблон ,но хоть убей не пойму как они обходят эту защиту без токена сервер ничего не отдает,токен генерится в формах ,если я дублирую такой же запрос вне формы то получаю хер с маслом Я не знаю как фиксить твою беду. UI-ные техники - это не моё. Но я-бы поставил первым делом https://www.wireshark.org/ И в течение некоторого времени походил-бы браузером и понаблюдал-бы трафик в текстовом виде. Скорее всего там действительно работает какая-то защита от дурака но тебе недостаточно средств браузера чтобы ее видеть. Возможно надо видеть стек глубже включая SSL/TLS события. Вайр-шарк их должен по идее показать. После этого твоё Java-приложение должно генерировать ТОЧНО такой-же трафик. Такие-же запросы и ответы как и браузер с приложением и с секретным протоколом. Сравни потом два лога и увидешь расхождения. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 23:24 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
mayton apb12 пропущено... да не хулиган,просто на эти парсеры хороший спрос - хочу сделать шаблон ,но хоть убей не пойму как они обходят эту защиту без токена сервер ничего не отдает,токен генерится в формах ,если я дублирую такой же запрос вне формы то получаю хер с маслом Я не знаю как фиксить твою беду. UI-ные техники - это не моё. Но я-бы поставил первым делом https://www.wireshark.org/ И в течение некоторого времени походил-бы браузером и понаблюдал-бы трафик в текстовом виде. Скорее всего там действительно работает какая-то защита от дурака но тебе недостаточно средств браузера чтобы ее видеть. Возможно надо видеть стек глубже включая SSL/TLS события. Вайр-шарк их должен по идее показать. После этого твоё Java-приложение должно генерировать ТОЧНО такой-же трафик. Такие-же запросы и ответы как и браузер с приложением и с секретным протоколом. Сравни потом два лога и увидешь расхождения. там обычная защита от крос сайтовых атак ,заключается в том что при отправке любого запроса с их сайта генерится уникальный токен,который уходит вместе с запросом на сервер,там происходит проверка если легитимный токен -происходит ответ сервера,ЕСЛИ нет токена или просроченый получишь json invalid scrf token у меня у самого на всех сайтах такая защита стоит на те запросы,которые я не хочу получать ботов парсеров - я ставлю scrf токен ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 23:39 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
Так что? Мы констатируем что мы - не знаем что происходит? Чудо-чудное? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 02:03 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 mayton пропущено... Хулиган. А начинал как приличный JavaEE (ш)кодер. А щас? - Хакерство. Парсинг сайтов. Лотереи. да не хулиган,просто на эти парсеры хороший спрос - хочу сделать шаблон ,но хоть убей не пойму как они обходят эту защиту без токена сервер ничего не отдает,токен генерится в формах ,если я дублирую такой же запрос вне формы то получаю хер с маслом А ты hidden поле с токеном отправляешь, когда эмулируешь отсылку формы? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 02:42 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
mayton Так что? Мы констатируем что мы - не знаем что происходит? Чудо-чудное? пока можно константировать, что автор взял работу (оплачиваемую?) в которой не разбирается, а делать ее предлагает совместно всему форуму исходя из этого, мне кажется топик давно должны были в подфорум Работа перенести ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 02:46 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 хочу сделать Бла бла бла. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 07:14 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 отправляет на сервер мой логин методом пост Нет :) Первый шаг- отправить запрос GET на адрес https://passport.yandex.ru/auth - и вот тут ответ содержит нужные куки. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 07:20 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
Alexey Tomin, отправил - вижу в форме токен) щас попробую его извлечь и две нужные куки далее я должен два раза сэмулировать отравку логина и пароля с нужными кукями и наконец то смогу добраться до нужного мне урла ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 10:14 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 отправил - вижу в форме токен) щас попробую его извлечь и две нужные куки далее я должен два раза сэмулировать отравку логина и пароля с нужными кукями и наконец то смогу добраться до нужного мне урла Ну вот теперь Вы в теме кук и заголовков :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 11:26 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
Alexey Tomin, теперь нужно победить вот этот момент) я получаю в теле вот такой html Код: html 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. нужно добраться до этого токена) пока чего то не получается) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 11:31 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
Alexey Tomin apb12 отправил - вижу в форме токен) щас попробую его извлечь и две нужные куки далее я должен два раза сэмулировать отравку логина и пароля с нужными кукями и наконец то смогу добраться до нужного мне урла Ну вот теперь Вы в теме кук и заголовков :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 11:45 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
добрался таки ) и вот это только начало и за это платят 2400 рублей а ведь еще надо все в базу записать сделать графику ,интерфейс,аналитику толи я в этой жизни чего то не понимаю,то ли фрилансеры свой труд вообще не ценят ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 11:45 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12, У тебя недавно был заказчик тупой. Теперь фрилансеры). Как у Высоцкого, обнаженные нервы у тебя)) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 11:48 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
PetroNotC Sharp apb12, У тебя недавно был заказчик тупой. Теперь фрилансеры). Как у Высоцкого, обнаженные нервы у тебя)) может ты и прав)) пс.вытащил пока куки и токен,сейчас пробую сэмулировать форму ,беда в том что там двух шаговая авторизация но посмотрим щас что к чему ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 12:13 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 толи я в этой жизни чего то не понимаю,то ли фрилансеры свой труд вообще не ценят Ну так это обучение идёт. Фрилансерам за обучение на платят. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 13:16 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
Alexey Tomin apb12 толи я в этой жизни чего то не понимаю,то ли фрилансеры свой труд вообще не ценят Ну так это обучение идёт. Фрилансерам за обучение на платят. согласен но разве вот такое приложение ОБход авторизации парсинг по времени с возможностью настройки интервала аналитика по изменениям и графический уи база данных савтоматическим удалением по выбранным интервалам вот разве все это 2400? да даже опытный джавист такое будет писать пару дней + плюсом сюда идет и фронт и базы ну я конечно пока в расценках не силен,но кажется это даже ниже чем таксист в день получает ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 13:28 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
по поводу темы сгенерировал форму ,положил туда куки,логин,и токен в ответ пришел джейсон ,такой же как и если бы я на странице в форме ввел а где взять новые куки и новый токен,чтобы сделать последний шаг в авторизации-отправка пароля на сайте в тулзе разраба эти куки видны ,а в респонсе их нет почему то ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 13:33 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
и еще в джейсоне сам токен scrf неполный в форме он выглядел вот так sfs12312232d :123124353 а в джейсоне прилетает вот только передняя часть sfs12312232d странно вообщем ,чего то не хватает ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 13:38 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
Народ помогите что не так не пойму сначала захожу на страницу авторизации и из формы беру токен и куки Код: java 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 15:07 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12, Это как диссертация. Там написать - не сильно большая проблема. Вот защитить и получить бабло. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 15:07 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
Далее я в форму кладу то что получил-токен,куки и ввожу логин Код: java 1. 2. 3. 4. 5. 6. 7. в ответ мне приходит json-он точно такой же ,как и если бы я просто ввел свой логин на странице яндекса но вот далее загвоздка -мне нужно отправлять пароль- и тут загвоздка где взять новый токен и новые куки в json ,который прилетает после ввода логина выглядит вот так Код: xml 1. а если вводить логин черех форму сайта - там видно куча куки и хедеров - в том же ответе что получаю я -ничего нет ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 15:14 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
тоесть получается в первый раз ,когда я обращался к странице авторизации - я получал html страницу внутри которой уже лежала форма с токеном и в респонсе лежали нужные куки сейчас же отправляя форму руками - я получаю лишь json в ответ вопрос как получить все остальное куки и форму новую ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 15:22 |
|
||
|
csrf token
|
|||
|---|---|---|---|
|
#18+
apb12 тоесть получается в первый раз ,когда я обращался к странице авторизации - я получал html страницу внутри которой уже лежала форма с токеном и в респонсе лежали нужные куки сейчас же отправляя форму руками - я получаю лишь json в ответ вопрос как получить все остальное куки и форму новую короче фиг его знает как делать 1 шаг нормально ввожу логин получаю норм ответ сервера в виде джейсон 2.в новую форму нужно вводить одно поле из этого джейсона парль токен и куки токен я получил просто перегрузив страницу с формой и распарсил ее но вот где куки то взять там отлетает порядка 26 кукишей ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2019, 16:27 |
|
||
|
|
start [/forum/moderation_log.php?user_name=chal.nikkal]: |
0ms |
get settings: |
9ms |
get forum list: |
15ms |
get settings: |
10ms |
get forum list: |
16ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
144ms |
get topic data: |
13ms |
get forum data: |
3ms |
get page messages: |
67ms |
get tp. blocked users: |
2ms |
| others: | 617ms |
| total: | 904ms |
| 0 / 0 |
