Некорректно отправляется Post запрос зенно постер 7.2.1

heks

Client
Регистрация
01.10.2013
Сообщения
1 205
Благодарностей
317
Баллы
83
Встречаются у кого такие баги и как их решали ?
В кубике ниже отправляю запрос




происходит отправка следующего запроса

хотя burp такой же запрос выполняет на ура
 

porileenvej

Client
Регистрация
09.05.2020
Сообщения
99
Благодарностей
131
Баллы
33
А где баги?
Content-Type зенка не показывает,
а Accept ты не указал, какой нужен.

Чтоб точно посмотреть, что отправляет зенка - отправь через прокси бурпа.
 

heks

Client
Регистрация
01.10.2013
Сообщения
1 205
Благодарностей
317
Баллы
83
берп отправляет такие данные ответ получается 200


через зенку отправляю


получаю 403 ошибку
заголовки запроса

Host: www.grailed.com
User-Agent: 3.22.0 (com.grailed.production; build:1595260930; Android 25)
Accept: application/json
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.5



заголовки ответа

Date: Mon, 23 Nov 2020 07:21:45 GMT
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
X-Frame-Options: SAMEORIGIN
Cache-Control: private, max-age=0, no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Expires: Thu, 01 Jan 1970 00:00:01 GMT
Set-Cookie: __cfduid=de6788ec48170f582fb564282f85f239e1606116105; expires=Wed, 23-Dec-20 07:21:45 GMT; path=/; domain=.grailed.com; HttpOnly; SameSite=Lax
cf-request-id: 069593f5c800008ff1b4306000000001
Expect-CT: max-age=604800, report-uri="https://report-uri.cloudflare.com/cdn-cgi/beacon/expect-ct"
Vary: Accept-Encoding
Server: cloudflare
CF-RAY: 5f69229c78c08ff1-DME
Content-Encoding: gzip


вроде не один проект на пост запросах написал но тут в упор не вижу ошибку

вижу что через зенку когда отправляю срабатывает защита
cloudflare.com
когда через берп такой защиты не срабатывает
 
Последнее редактирование:

cooki

Client
Регистрация
05.10.2014
Сообщения
177
Благодарностей
42
Баллы
28
Попробуй заголовки добавить из снифера вообще все и методом тыка, потом удаляй лишнее.
 

heks

Client
Регистрация
01.10.2013
Сообщения
1 205
Благодарностей
317
Баллы
83
Попробуй заголовки добавить из снифера вообще все и методом тыка, потом удаляй лишнее.
так в том то и дело уже все убирал
минимальные данные которые отправляет берп при правильном запросе


Отправляю через зенку



ответ все равно 403 получается
 

heks

Client
Регистрация
01.10.2013
Сообщения
1 205
Благодарностей
317
Баллы
83
запрос в берпе без изменения

первый раз такое попадается что не могу запрос отправить
 

ankur

Client
Регистрация
19.05.2012
Сообщения
83
Благодарностей
48
Баллы
18

melutsk

Client
Регистрация
03.08.2016
Сообщения
1 348
Благодарностей
1 259
Баллы
113
Пускай через бурп траф с зенки и смотри, что не так. Должно быть 1 в 1.
 

heks

Client
Регистрация
01.10.2013
Сообщения
1 205
Благодарностей
317
Баллы
83
Content-Length и Host не надо писать в заголовки. Скинь Raw запроса из Burp.
Content-Length знаю что можно не писать. в берпе после того как делаю запрос он автоматом создается
Host в этом запросе обязателен без него 400 ошибка выходит
HTTP/1.1 200 OK
Date: Mon, 23 Nov 2020 13:27:46 GMT
Content-Type: application/json; charset=utf-8
Content-Length: 1688
Connection: keep-alive
Set-Cookie: __cfduid=d4c84d0672605feb0e4ee3502b72dc7321606138065; expires=Wed, 23-Dec-20 13:27:45 GMT; path=/; domain=.grailed.com; HttpOnly; SameSite=Lax
CF-Ray: 5f6b3abfcfc70c36-DME
Cache-Control: max-age=0, private, must-revalidate
ETag: W/"70798e594a231dc8cce8ac31b7cfea93"
Strict-Transport-Security: max-age=31536000; includeSubDomains
Via: 1.0 spaces-router (c9d446e9ac4c), 1.1 spaces-router (c9d446e9ac4c)
CF-Cache-Status: DYNAMIC
cf-request-id: 0696e30bdd00000c3622ab1000000001
Expect-CT: max-age=604800, report-uri="https://report-uri.cloudflare.com/cdn-cgi/beacon/expect-ct"
Referrer-Policy: strict-origin-when-cross-origin
X-Content-Type-Options: nosniff
X-Download-Options: noopen
X-Frame-Options: SAMEORIGIN
X-Permitted-Cross-Domain-Policies: none
X-Request-Id: 279ba5e5-8390-febc-700c-55c211d04602
X-Runtime: 0.201694
X-Xss-Protection: 1; mode=block
Set-Cookie: feature_user_id=653abce2-46df-43b6-927e-796a64736ff0; path=/; expires=Fri, 23 Nov 2040 13:27:46 GMT; secure
Set-Cookie: csrf_token=opqaq6N%2FwvZrrvV8CdAOBWucZU%2BawZeN0CKSKClu4I9ijVT3NrSmwAfzCZa5ybQVwTOjtbu%2FwI9SchgIZsfVGw%3D%3D; path=/; expires=Tue, 24 Nov 2020 13:27:46 GMT; secure
Set-Cookie: grailed_jwt=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOjU1NjYzOTEsImp0aSI6IjNiNGZlMTA0LTk3ZjYtNDk0Mi04NWYwLTVmMjEzODE4NzhkMiIsImlzcyI6IkdyYWlsZWQtcHJvZHVjdGlvbiIsImFjdCI6ImF1dGgiLCJpYXQiOjE2MDYxMzgwNjZ9.TB87cFb0cLueggofe1nZ0Nyfh7A367u3GIZI333MtCc; path=/; expires=Fri, 23 Nov 2040 13:27:46 GMT; secure; HttpOnly
Set-Cookie: _grailed_session=YzRkUUNUaTlUdzVuMU1NRGlmbVRWaFRYRFp0aGtvQURIZm1VTkZXQlhrRTB4T2J5NlBqQU5ISFN6RzRzYmtyaWxmNGlBUmZFQnRqeHkxSXpEbklzRWF4emhOclNkZE1aVkdBMkJKZWJWMUY4VUV5NG51aWhybkVYaUdMY2NNRXA5VTJ3MGlXMElZVXc5R0VkM1p2MUh5TGJLRkQyKzNIaWc3VEw4ZnRjVTE1Qis2MkplWkkwSVNEdXp4Q0tDQjdxaFdqcEJ4QjNYbzc3STRialZWUjAxTExzZU5xWm9XMk14d0ZTR1hxTHpXVXBWbU1NZkdmYThwRVA0SE5jZFhnYzd2VTl2cTBiRmNUVFRWQ2ZPaXcyN0tidWVZL2RhdTdzWVVFb25tN0VDNFZweWViYWNXZmZ0RjhSa3d3STNkRUlyK1pHRzZrK1dVQzdpR0ZzRzJ0eHlRPT0tLUl5cEl4N0p1YS9jSWQ0UjZzVmNaN3c9PQ%3D%3D--83c00bbc4d210ba3af8740e41957cd88b4c0e8d3; path=/; expires=Tue, 24 Nov 2020 13:27:46 GMT; secure; HttpOnly
Set-Cookie: __cf_bm=7f0b6d59e90ffe6aa18bbf98407aea335fc09498-1606138066-1800-AUUjjERs5WjGgZSYEdFopP1G03e7dqSBmdE9037jOZVaVbr1Xc01x+nsxoMp9yje9rFAX0jV/IDDFPGPAjpozs0=; path=/; expires=Mon, 23-Nov-20 13:57:46 GMT; domain=.grailed.com; HttpOnly; Secure; SameSite=None
Server: cloudflare

{"data":{"token":"eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOjU1NjYzOTEsImp0aSI6IjNiNGZlMTA0LTk3ZjYtNDk0Mi04NWYwLTVmMjEzODE4NzhkMiIsImlzcyI6IkdyYWlsZWQtcHJvZHVjdGlvbiIsImFjdCI6ImF1dGgiLCJpYXQiOjE2MDYxMzgwNjZ9.TB87cFb0cLueggofe1nZ0Nyfh7A367u3GIZI333MtCc","user":{"id":5566391,"username":"heks","avatar_url":null,"bio":null,"created_at":"2020-11-22T17:47:26.999Z","height":null,"weight":null,"location":"Europe","location_abbreviation":"eu","aggregate_feedback_count":0,"total_bought_and_sold":0,"buyer_score":{"purchase_count":0,"would_sell_to_again_count":0},"seller_score":{"sold_count":0,"rating_average":null,"rating_count":0,"tag_list":[]},"seller_rating":{"rating_average":0,"rating_count":0,"tag_list":[]},"listings_for_sale_count":0,"followed_listings":[],"is_banned":false,"is_deleted":false,"is_confirmed":true,"group":"users","seller_badges_revoked":false,"shipping_address":{"addresseeName":"","street1":"","street2":"","city":"","state":"","zip":"","country":""},"follower_count":0,"following_count":0,"features":{},"email":"[email protected]","is_admin":false,"is_curator":false,"is_verified":false,"is_quick_responder":false,"is_speedy_shipper":false,"is_trusted_seller":false,"needs_to_connect_paypal_merchant_account":true,"should_sell_through_paypal_rest":true,"paypal_merchant_id":null,"paypal_id":"","default_shipping_costs":{"us":{"amount":30,"enabled":true},"ca":{"amount":30,"enabled":true},"uk":{"amount":15,"enabled":true},"eu":{"amount":15,"enabled":true},"asia":{"amount":25,"enabled":true},"au":{"amount":25,"enabled":true},"other":{"amount":25,"enabled":true}},"has_unacknowledged_violations":false,"vacation":null,"saved_searches":[]},"redirect_to":"/"}}
Пускай через бурп траф с зенки и смотри, что не так. Должно быть 1 в 1.
я снифил приложение поэтому такой возможности нет как ты говоришь
 

melutsk

Client
Регистрация
03.08.2016
Сообщения
1 348
Благодарностей
1 259
Баллы
113
Content-Length знаю что можно не писать. в берпе после того как делаю запрос он автоматом создается
Host в этом запросе обязателен без него 400 ошибка выходит



я снифил приложение поэтому такой возможности нет как ты говоришь
Почему нету возможности? Пусти постер через бурп.
 

cooki

Client
Регистрация
05.10.2014
Сообщения
177
Благодарностей
42
Баллы
28



segment id, его отправлял?

Не понятно ничего, в 9 посте у тебя то, что при снифе приложения и удачной авторизации дает бурп?
В зенке прокси бурпа пропиши и снифни.
 
  • Спасибо
Реакции: melutsk

ibred

Client
Регистрация
04.04.2015
Сообщения
3 835
Благодарностей
3 552
Баллы
113
А где потеряли параметр recaptcha_token в POST запросе?
67670
 
  • Спасибо
Реакции: melutsk

heks

Client
Регистрация
01.10.2013
Сообщения
1 205
Благодарностей
317
Баллы
83
Почему нету возможности? Пусти постер через бурп.
как я на эмуляторе запущу зенку? что бы снифнуть приложение ?



segment id, его отправлял?

Не понятно ничего, в 9 посте у тебя то, что при снифе приложения и удачной авторизации дает бурп?
В зенке прокси бурпа пропиши и снифни.
куки при отправке запроса не обязательны

Токен получается даже если куков нету. Если отправляешь через берп получаешь 200 ответ



Полностью запрос когда отправляешь получаешь тоже ответ 200 и получаешь токен


А где потеряли параметр recaptcha_token в POST запросе?
Посмотреть вложение 67670
токен рекапчи ненужен когда снифаешь запросы через приложения отправляется без токена и куков. Без рекапчи должно все работать это что то с пост запросами не то у самой зенки
 

melutsk

Client
Регистрация
03.08.2016
Сообщения
1 348
Благодарностей
1 259
Баллы
113
Ну ты ж пишешь в проджектмейкере, установи в нем прокси 127.0.0.1:8080 или какой там порт и шли запрос, ты его увидишь в берпе. И сравнивай с тем, что ты шлешь и когда у тебя все ок. И посмотришь, в чем разница в запросах и что тебе надо еще поправить. Вот такая логика)
 

heks

Client
Регистрация
01.10.2013
Сообщения
1 205
Благодарностей
317
Баллы
83
поставил проксю в проект мейкер отправил запрос получил ответ 200 все ок
но это ответ 200 когда прокси ставишь. отладку то я делаю без проксей и при обычном запросе без проксей тоже должен ответ 200 получаться. В чем фишка?
 

cooki

Client
Регистрация
05.10.2014
Сообщения
177
Благодарностей
42
Баллы
28
куки при отправке запроса не обязательны
у тебя в хедере много параметров, например эти
X-Request-Id: 279ba5e5-8390-febc-700c-55c211d04602
X-Runtime: 0.201694

Как ту они работают, я не знаю, но у некоторых приложений они мониторят координаты тача, генерят всякие параметры и тд.
Например, у меня в софте X-CSRF-Token: есть, если его не передать, то шлет.
я тебе в лс написал, ответь.
 

Кто просматривает тему: (Всего: 1, Пользователи: 0, Гости: 1)