@qwertyclaim Не сможете , только версии 24 с старейшим движком
Помогите обрести знания в сфере подмены http(post) запросов после авторизации на сайте
-
У опыт в программировании хороший, более 5 лет.
Занимаюсь в основном разработкой разработкой веб сайтов и приложений + ботов на басе(ботом управлять через админку на сайте).Но вот в отрасли подмены post запросов, эмуляции конкретного юзера в запросах, обход защиты cloudflare на уровне post запросов, авторизация по post запросам тут я новичек
Пример задачи: есть сайт на котором я авторизовался. Клацая на кнопку, вылетает post запросов. Мне надо этот пост запрос вставить в бас и отсылать его от имени 10 разных юзеров, с разным ip.
Пример моей попытки реализации:
- открыл бас
- авторизвался на сайте в басе(режим записи)
- включил режим записи запросов(в басе)
- нажал нужную кнопку на сайте
- заполучил басом нужный запрос
- теперь у меня есть нужный POST запрос в басе
- но вот при попытки "отправить его" даже с теми же данными. У меня возникают ошибки со стороны сервера.
Ошибки категории "Не авторизован юзер для такого запроса". Хотя и куки подгружал и токен авторизации. В общем моих знаний сейчас мало для успешной реализации задачи.
Ошибки категории "Ошибка №такая то от cloudflare, мол иди в задницу бот".
В общем нужна теоретическая и практическая помощь в данном вопросе. Желательно, кому не сложно помогите через telegram.
Хорошо владею javascript, php, mysql и базово шарю в http запросах, но не в их подмене(из под баса или curl)
Научите пожалуйста пользоваться(в идеале) любым сайтом через его API (подмену post запросов) и обход нюансов таких как cloudflare
Если есть возможность, помогите перепиской через телеграмм(пишите в ЛС) -
Дык, сударь, тут надо не просто записать запросы, а чекнуть ключевые моменты (токены, кеи, и прочие проверочные хреновины, которых у разных сайтов может быть разное количество).
Ты записал сессию, при следующем заходе через запросы, сайт ждет от тебя токен/ключ/что угодно для уже ЭТОЙ НОВОЙ сессии! Редко когда значения проверяющих переменных остается постоянным на сайте.
В общем тема запросов очень годная, но надо вникать вникать и еще сто раз вникать в нюансы:)
-
@Вениамин said in Помогите обрести знания в сфере подмены http(post) запросов после авторизации на сайте:
Дык, сударь, тут надо не просто записать запросы, а чекнуть ключевые моменты (токены, кеи, и прочие проверочные хреновины, которых у разных сайтов может быть разное количество).
во во во, вы сударь очень даже правы. Тут я ощущаю пробел в своих знаниях, особенно всё что связанно с "Имитацией мол моя запрос это настоящий юзер для сайта и мол авторизован"
@Вениамин said in Помогите обрести знания в сфере подмены http(post) запросов после авторизации на сайте:
В общем тема запросов очень годная, но надо вникать вникать и еще сто раз вникать в нюансы:)
угу, пока что в отрасли подмены запросов я слабоват. А так же в отрасли "имитации юзера в самом запросе для конкретного сайта"
Есть еще у кого дельные советы, видео, книжка?)
Как хотя бы эта отрасль(Само слово, термины, определения) называется? Имитация запросов юзера в басе или curl(изменение значение запроса), пользование сайтом через его GET/POST запросы, сессии, токены и прочее -
@univej Это только опыт . Нет никакой отросли и тут не нужны никакие специальные знания, кроме понимания что такое http протокол, снифер и умения дебажить js код в браузере тк часто необходимые параметры генерируется через js, который в лучшем случае пропущен через просто сборщик вроде webpack, а в худшем через обсуфикатор.
И далеко не все задачи решаемы без браузера, например можно состариться пока научишься генерироваться различные метрики и аналитики. -
@univej не везде получится провернуть такой трюк. Особенно, если сайт использует cloudflare bot management.
Особенности, которые может использовать сайт:- при авторизации в браузере сайт отслеживает tcp сессию и при попытке отправить запрос с другого места, сайт повторно требует проверку на бота. Так как новый запрос проходит все стадии установления соединения (tcp 3 way handshake).
- сайт может отслеживать соединение на уровне установления соединения SSL/TLS с той же самой логикой. Дополнительно включая ja3 fingerprint. А ja3 fingerprint браузера и условного curl разный.
Ссылки по теме:
-
@univej чего за бред, программирую 5 лет, но не знаю пост и гет, ну значит ты и программировать ничего не умеешь, при изучении того же php первым делом изучаются азы, а азы запросы post get ими и являются, не зная как они работают ты ничего нормального реализовать в бекенде не сможешь.
Я сам в басе 3ий день, но уже знаю, что в сети полно видосов на эту тему
-
@zaifat said in Помогите обрести знания в сфере подмены http(post) запросов после авторизации на сайте:
@univej чего за бред, программирую 5 лет, но не знаю пост и гет, ну значит ты и программировать ничего не умеешь, при изучении того же php первым делом изучаются азы, а азы запросы post get ими и являются, не зная как они работают ты ничего нормального реализовать в бекенде не сможешь.
Я сам в басе 3ий день, но уже знаю, что в сети полно видосов на эту тему
-
Я бы порекомендовал для начала отлавливать запросы сниффером, например, Fiddler, Charles (для меня самый простой), Burp. Жмешь кнопку авторизации и смотришь какой запрос выполняется. Ищешь поиском данные, которые ввел, например email. В запросе смотришь заголовок, если там есть какие-либо токены, так же поиском ищешь в каком запросе токены получаются. Если токены не найдены, то скорее всего генерятся скриптом. Тогда нужно скрипт ковырять.
Cloudflare обходить хз как - это не простая штука и думаю тут тебе вряд-ли кто подскажет решение.
