Bablosoft

Сайт может спалить по TLS FingerPrint

Поддержка
  • IvanMI

    @UserTrue Я не понимат. Где я утверждал, что БАС каким либо местом связан с TLS???

    Если что-то серьёзно мешает работе, то может быть выпущено решение. Так было с Тунеллером. Он тоже не касается БАСа, но проблему устраняет.

    ? 1 Reply
    0
  • ?
    This post is deleted!
    Fire_trackF 1 Reply
    0
  • Fire_trackF

    @UserTrue Киферы не? Могу больше инфы скинуть, протокол шифрования траффика, у меня были проблемы с другим софтом, пока свой не сделал.

    ? ? 2 Replies
    1
  • ?
    This post is deleted!
    0
  • ?

    @m1st кидай больше инфы, будет полезно

    FastSpaceF 1 Reply
    0
  • FastSpaceF

    Так что все ок?
    Проверил на кучи серваков и пк других людей. В BAS один и тот же хэш отличный от хром даже на отпечатках не хром.
    Этот хэш в ЧС - все и вуаля фиаско.
    Критическое палево.

    teamgameT 1 Reply
    0
  • teamgameT

    @FastSpace сайт перестал регать, решил заснифать через HTTP Analyzer - при запущенном сниффере сайт перестал палить, но появилось такое сообщение. Когда отключаю - опять детектит сайт.
    cec216f7-4b3d-4d87-b246-a8d61e5900f7-image.png

    Еще меняется расположение и кодировка

    spoiler
    1
  • Fire_trackF

    У всех такой JA3 Fingerprint в басе?
    Я просто смотрю он не сильно меняется и сильно отличается от обычного хрома
    БАС

    772,4865-4866-4867-49195-49199-49196-49200-52393-52392-49171-49172-156-157-47-53-10,0-23-65281-10-11-35-16-5-13-18-51-45-43-27-21-41,29-23-24,

    ХРОМ

    772,4865-4866-4867-49195-49199-49196-49200-52393-52392-49171-49172-156-157-47-53-255,0-11-10-35-5-16-23-13-43-45-51,29-23-24,

    Проверил несколько раз с разными отпечатками фингерпринта, относительно одинаковый для хрома, яндекс или файрфок отпечатка.
    alt text
    Вот кста норм статья
    https://medium.com/cu-cyber/impersonating-ja3-fingerprints-b9f555880e42

    772 - это версия TLS

    TLS 1.3

    4865-4866-4867-49195-49199-49196-49200-52393-52392-49171-49172-156-157-47-53-10 - это список доступных клиентских шифров, в хроме на конце 255 вместо 10, в основном из-за этого проблема, как Я думаю.
    БАС

    0x0a0a   TLS_GREASE_0A   GREASE 
0x1301   TLS_AES_128_GCM_SHA256   Good 
0x1302   TLS_AES_256_GCM_SHA384   Good 
0x1303   TLS_CHACHA20_POLY1305_SHA256   Good 
0xc02b   TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256   Good 
0xc02f   TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256   Good 
0xc02c   TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384   Good 
0xc030   TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384   Good 
0xcca9   TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256   Good 
0xcca8   TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256   Good 
0xc013   TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA   CBC, SHA-MAC 
0xc014   TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA   CBC, SHA-MAC 
0x009c   TLS_RSA_WITH_AES_128_GCM_SHA256   NO PFS 
0x009d   TLS_RSA_WITH_AES_256_GCM_SHA384   NO PFS 
0x002f   TLS_RSA_WITH_AES_128_CBC_SHA   CBC, SHA-MAC, NO PFS 
0x0035   TLS_RSA_WITH_AES_256_CBC_SHA   CBC, SHA-MAC, NO PFS 
0x000a   TLS_RSA_WITH_3DES_EDE_CBC_SHA   CBC, 3DES, SHA-MAC, NO PFS

    ХРОМ

    0x1301   TLS_AES_128_GCM_SHA256   Good 
0x1302   TLS_AES_256_GCM_SHA384   Good 
0x1303   TLS_CHACHA20_POLY1305_SHA256   Good 
0xc02b   TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256   Good 
0xc02f   TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256   Good 
0xc02c   TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384   Good 
0xc030   TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384   Good 
0xcca9   TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256   Good 
0xcca8   TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256   Good 
0xc013   TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA   CBC, SHA-MAC 
0xc014   TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA   CBC, SHA-MAC 
0x009c   TLS_RSA_WITH_AES_128_GCM_SHA256   NO PFS 
0x009d   TLS_RSA_WITH_AES_256_GCM_SHA384   NO PFS 
0x002f   TLS_RSA_WITH_AES_128_CBC_SHA   CBC, SHA-MAC, NO PFS 
0x0035   TLS_RSA_WITH_AES_256_CBC_SHA   CBC, SHA-MAC, NO PFS 
0x00ff   TLS_EMPTY_RENEGOTIATION_INFO_SCSV   EXTENSION

    0-23-65281-10-11-35-16-5-13-18-51-45-43-27-21 - это список доступных расширений. Если смотреть тут , то можно увидеть чего не хватает и что лишнее, не знаю обязательно, чтобы они шли по порядку или нет.
    БАС

    0x0000   server_name 
0x0017   extended_master_secret 
0xff01   renegotiation_info 
0x000a   supported_groups 
0x000b   ec_point_formats 
0x0023   session_ticket 
0x0010   application_layer_protocol_negotiation 
0x0005   status_request 
0x000d   signature_algorithms 
0x0012   signed_certificate_timestamp 
0x0033   key_share 
0x002d   psk_key_exchange_modes 
0x002b   supported_versions 
0x001b   compress_certificate 
0x0015   padding

    ХРОМ

    0x0000 server_name
0x000b ec_point_formats
0x000a supported_groups
0x0023 session_ticket
0x0005 status_request
0x0010 application_layer_protocol_negotiation
0x0017 extended_master_secret
0x000d signature_algorithms
0x002b supported_versions
0x002d psk_key_exchange_modes
0x0033 key_share

    29-23-24 - это поддерживаемые эллиптические кривые (Одинаково везде)
    Это если разбирать сам отпечаток.
    Так же не много от себя
    Тут даже лишнее может выдавать браузер, напримере как
    alt text
    При включенном Cache Mask Allow, сайт он может палить
    А в общем Я пока не особо понимаю взаимосвязи, может кто дополнить или сказать, что не так?
    Так же, если при заюзанном сайте выключить туннелирование, то запрос снова будет проходить, даже, если вы не используете прокси.
    alt text

    teamgameT 1 Reply
    0
  • teamgameT

    @Fire_track said in Сайт может спалить по TLS FingerPrint:

    llow, сайт он может палить
    А в общем Я пока не особо понимаю взаимосвязи, может кто дополнить или сказать, что не так?
    Так же, если при заюзанном сайте

    Да тоже слышал что отключение туннелирования помогает.
    Это TLS от Баса (у всех видимо одно и тоже) - жуткое палево, т.к. собрать легко

    772,4865-4866-4867-49195-49199-49196-49200-52393-52392-49171-49172-156-157-47-53-10,0-23-65281-10-11-35-16-5-13-18-51-45-43-27-21,29-23-24,

    А это при включении HttpAnalyzer - он тупо его меняет на другое. Помогало временно, но теперь начало палить бота. Видимо они добавлют в ЧС при масс использовании

    771,49195-49199-49196-49200-49171-49172-156-157-47-53-10-49192-49188-49162-165-163-161-159-107-106-105-104-57-56-55-54-49202-49198-49194-49190-49167-49157-61-49191-49187-49161-164-162-160-158-103-64-63-62-51-50-49-48-49201-49197-49193-49189-49166-49156-60-154-153-152-151-150-255,0-11-10-35-13,23-25-28-27-24-26-22-14-13-11-12-9-10,0-1-2

    С отключенным туннелированием все работает, может не забанено.

    771,49200-49196-49192-49188-49172-49162-163-159-107-106-57-56-136-135-49202-49198-49194-49190-49167-49157-157-61-53-132-49199-49195-49191-49187-49171-49161-162-158-103-64-51-50-154-153-69-68-49201-49197-49193-49189-49166-49156-156-60-47-150-65-7-49170-49160-22-19-49165-49155-10-255,0-11-10-13-13172-21,14-13-25-11-12-24-9-10-22-23-8-6-7-20-21-4-5-18-19-1-2-3-15-16-17,0-1-2

    В этом надо разбираться.

    0
  • teamgameT

    https://github.com/salesforce/ja3

    вариант попробовать это) Я спать

    0