@UserTrue
Когда искал по форуму, часто встречал ответы этого пользователя. Если найдется минутка, поделитесь опытом. Пока выделил два возможных решения замены curl http. Может есть еще варианты? Какой вариант для вас лучше?
Помогите обрести знания в сфере подмены http(post) запросов после авторизации на сайте
-
У опыт в программировании хороший, более 5 лет.
Занимаюсь в основном разработкой разработкой веб сайтов и приложений + ботов на басе(ботом управлять через админку на сайте).Но вот в отрасли подмены post запросов, эмуляции конкретного юзера в запросах, обход защиты cloudflare на уровне post запросов, авторизация по post запросам тут я новичек
Пример задачи: есть сайт на котором я авторизовался. Клацая на кнопку, вылетает post запросов. Мне надо этот пост запрос вставить в бас и отсылать его от имени 10 разных юзеров, с разным ip.
Пример моей попытки реализации:
- открыл бас
- авторизвался на сайте в басе(режим записи)
- включил режим записи запросов(в басе)
- нажал нужную кнопку на сайте
- заполучил басом нужный запрос
- теперь у меня есть нужный POST запрос в басе
- но вот при попытки "отправить его" даже с теми же данными. У меня возникают ошибки со стороны сервера.
Ошибки категории "Не авторизован юзер для такого запроса". Хотя и куки подгружал и токен авторизации. В общем моих знаний сейчас мало для успешной реализации задачи.
Ошибки категории "Ошибка №такая то от cloudflare, мол иди в задницу бот".
В общем нужна теоретическая и практическая помощь в данном вопросе. Желательно, кому не сложно помогите через telegram.
Хорошо владею javascript, php, mysql и базово шарю в http запросах, но не в их подмене(из под баса или curl)
Научите пожалуйста пользоваться(в идеале) любым сайтом через его API (подмену post запросов) и обход нюансов таких как cloudflare
Если есть возможность, помогите перепиской через телеграмм(пишите в ЛС) -
Дык, сударь, тут надо не просто записать запросы, а чекнуть ключевые моменты (токены, кеи, и прочие проверочные хреновины, которых у разных сайтов может быть разное количество).
Ты записал сессию, при следующем заходе через запросы, сайт ждет от тебя токен/ключ/что угодно для уже ЭТОЙ НОВОЙ сессии! Редко когда значения проверяющих переменных остается постоянным на сайте.
В общем тема запросов очень годная, но надо вникать вникать и еще сто раз вникать в нюансы:)
-
@Вениамин said in Помогите обрести знания в сфере подмены http(post) запросов после авторизации на сайте:
Дык, сударь, тут надо не просто записать запросы, а чекнуть ключевые моменты (токены, кеи, и прочие проверочные хреновины, которых у разных сайтов может быть разное количество).
во во во, вы сударь очень даже правы. Тут я ощущаю пробел в своих знаниях, особенно всё что связанно с "Имитацией мол моя запрос это настоящий юзер для сайта и мол авторизован"
@Вениамин said in Помогите обрести знания в сфере подмены http(post) запросов после авторизации на сайте:
В общем тема запросов очень годная, но надо вникать вникать и еще сто раз вникать в нюансы:)
угу, пока что в отрасли подмены запросов я слабоват. А так же в отрасли "имитации юзера в самом запросе для конкретного сайта"
Есть еще у кого дельные советы, видео, книжка?)
Как хотя бы эта отрасль(Само слово, термины, определения) называется? Имитация запросов юзера в басе или curl(изменение значение запроса), пользование сайтом через его GET/POST запросы, сессии, токены и прочее -
@univej Это только опыт . Нет никакой отросли и тут не нужны никакие специальные знания, кроме понимания что такое http протокол, снифер и умения дебажить js код в браузере тк часто необходимые параметры генерируется через js, который в лучшем случае пропущен через просто сборщик вроде webpack, а в худшем через обсуфикатор.
И далеко не все задачи решаемы без браузера, например можно состариться пока научишься генерироваться различные метрики и аналитики. -
@univej не везде получится провернуть такой трюк. Особенно, если сайт использует cloudflare bot management.
Особенности, которые может использовать сайт:- при авторизации в браузере сайт отслеживает tcp сессию и при попытке отправить запрос с другого места, сайт повторно требует проверку на бота. Так как новый запрос проходит все стадии установления соединения (tcp 3 way handshake).
- сайт может отслеживать соединение на уровне установления соединения SSL/TLS с той же самой логикой. Дополнительно включая ja3 fingerprint. А ja3 fingerprint браузера и условного curl разный.
Ссылки по теме:
-
@univej чего за бред, программирую 5 лет, но не знаю пост и гет, ну значит ты и программировать ничего не умеешь, при изучении того же php первым делом изучаются азы, а азы запросы post get ими и являются, не зная как они работают ты ничего нормального реализовать в бекенде не сможешь.
Я сам в басе 3ий день, но уже знаю, что в сети полно видосов на эту тему
-
@zaifat said in Помогите обрести знания в сфере подмены http(post) запросов после авторизации на сайте:
@univej чего за бред, программирую 5 лет, но не знаю пост и гет, ну значит ты и программировать ничего не умеешь, при изучении того же php первым делом изучаются азы, а азы запросы post get ими и являются, не зная как они работают ты ничего нормального реализовать в бекенде не сможешь.
Я сам в басе 3ий день, но уже знаю, что в сети полно видосов на эту тему
-
Я бы порекомендовал для начала отлавливать запросы сниффером, например, Fiddler, Charles (для меня самый простой), Burp. Жмешь кнопку авторизации и смотришь какой запрос выполняется. Ищешь поиском данные, которые ввел, например email. В запросе смотришь заголовок, если там есть какие-либо токены, так же поиском ищешь в каком запросе токены получаются. Если токены не найдены, то скорее всего генерятся скриптом. Тогда нужно скрипт ковырять.
Cloudflare обходить хз как - это не простая штука и думаю тут тебе вряд-ли кто подскажет решение.