чет не так значит, я файлы отправлял через вручную сформированный запрос, нормально отправлялись
image.png
Помогите обрести знания в сфере подмены http(post) запросов после авторизации на сайте
-
Дык, сударь, тут надо не просто записать запросы, а чекнуть ключевые моменты (токены, кеи, и прочие проверочные хреновины, которых у разных сайтов может быть разное количество).
Ты записал сессию, при следующем заходе через запросы, сайт ждет от тебя токен/ключ/что угодно для уже ЭТОЙ НОВОЙ сессии! Редко когда значения проверяющих переменных остается постоянным на сайте.
В общем тема запросов очень годная, но надо вникать вникать и еще сто раз вникать в нюансы:)
-
@Вениамин said in Помогите обрести знания в сфере подмены http(post) запросов после авторизации на сайте:
Дык, сударь, тут надо не просто записать запросы, а чекнуть ключевые моменты (токены, кеи, и прочие проверочные хреновины, которых у разных сайтов может быть разное количество).
во во во, вы сударь очень даже правы. Тут я ощущаю пробел в своих знаниях, особенно всё что связанно с "Имитацией мол моя запрос это настоящий юзер для сайта и мол авторизован"
@Вениамин said in Помогите обрести знания в сфере подмены http(post) запросов после авторизации на сайте:
В общем тема запросов очень годная, но надо вникать вникать и еще сто раз вникать в нюансы:)
угу, пока что в отрасли подмены запросов я слабоват. А так же в отрасли "имитации юзера в самом запросе для конкретного сайта"
Есть еще у кого дельные советы, видео, книжка?)
Как хотя бы эта отрасль(Само слово, термины, определения) называется? Имитация запросов юзера в басе или curl(изменение значение запроса), пользование сайтом через его GET/POST запросы, сессии, токены и прочее -
@univej Это только опыт . Нет никакой отросли и тут не нужны никакие специальные знания, кроме понимания что такое http протокол, снифер и умения дебажить js код в браузере тк часто необходимые параметры генерируется через js, который в лучшем случае пропущен через просто сборщик вроде webpack, а в худшем через обсуфикатор.
И далеко не все задачи решаемы без браузера, например можно состариться пока научишься генерироваться различные метрики и аналитики. -
@univej не везде получится провернуть такой трюк. Особенно, если сайт использует cloudflare bot management.
Особенности, которые может использовать сайт:- при авторизации в браузере сайт отслеживает tcp сессию и при попытке отправить запрос с другого места, сайт повторно требует проверку на бота. Так как новый запрос проходит все стадии установления соединения (tcp 3 way handshake).
- сайт может отслеживать соединение на уровне установления соединения SSL/TLS с той же самой логикой. Дополнительно включая ja3 fingerprint. А ja3 fingerprint браузера и условного curl разный.
Ссылки по теме:
-
@univej чего за бред, программирую 5 лет, но не знаю пост и гет, ну значит ты и программировать ничего не умеешь, при изучении того же php первым делом изучаются азы, а азы запросы post get ими и являются, не зная как они работают ты ничего нормального реализовать в бекенде не сможешь.
Я сам в басе 3ий день, но уже знаю, что в сети полно видосов на эту тему
-
@zaifat said in Помогите обрести знания в сфере подмены http(post) запросов после авторизации на сайте:
@univej чего за бред, программирую 5 лет, но не знаю пост и гет, ну значит ты и программировать ничего не умеешь, при изучении того же php первым делом изучаются азы, а азы запросы post get ими и являются, не зная как они работают ты ничего нормального реализовать в бекенде не сможешь.
Я сам в басе 3ий день, но уже знаю, что в сети полно видосов на эту тему
-
Я бы порекомендовал для начала отлавливать запросы сниффером, например, Fiddler, Charles (для меня самый простой), Burp. Жмешь кнопку авторизации и смотришь какой запрос выполняется. Ищешь поиском данные, которые ввел, например email. В запросе смотришь заголовок, если там есть какие-либо токены, так же поиском ищешь в каком запросе токены получаются. Если токены не найдены, то скорее всего генерятся скриптом. Тогда нужно скрипт ковырять.
Cloudflare обходить хз как - это не простая штука и думаю тут тебе вряд-ли кто подскажет решение.
