Некорректно отправляется Post запрос зенно постер 7.2.1

[heks]

Встречаются у кого такие баги и как их решали ?
В кубике ниже отправляю запрос

происходит отправка следующего запроса

хотя burp такой же запрос выполняет на ура

 

[porileenvej]

А где баги?
Content-Type зенка не показывает,
а Accept ты не указал, какой нужен.

Чтоб точно посмотреть, что отправляет зенка - отправь через прокси бурпа.

 

[heks]

берп отправляет такие данные ответ получается 200

через зенку отправляю

получаю 403 ошибку
заголовки запроса

Host: www.grailed.com
User-Agent: 3.22.0 (com.grailed.production; build:1595260930; Android 25)
Accept: application/json
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.5



заголовки ответа

Date: Mon, 23 Nov 2020 07:21:45 GMT
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
X-Frame-Options: SAMEORIGIN
Cache-Control: private, max-age=0, no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Expires: Thu, 01 Jan 1970 00:00:01 GMT
Set-Cookie: __cfduid=de6788ec48170f582fb564282f85f239e1606116105; expires=Wed, 23-Dec-20 07:21:45 GMT; path=/; domain=.grailed.com; HttpOnly; SameSite=Lax
cf-request-id: 069593f5c800008ff1b4306000000001
Expect-CT: max-age=604800, report-uri="https://report-uri.cloudflare.com/cdn-cgi/beacon/expect-ct"
Vary: Accept-Encoding
Server: cloudflare
CF-RAY: 5f69229c78c08ff1-DME
Content-Encoding: gzip


вроде не один проект на пост запросах написал но тут в упор не вижу ошибку

вижу что через зенку когда отправляю срабатывает защита
cloudflare.com
когда через берп такой защиты не срабатывает

 

[cooki]

Попробуй заголовки добавить из снифера вообще все и методом тыка, потом удаляй лишнее.

 

[heks]

Попробуй заголовки добавить из снифера вообще все и методом тыка, потом удаляй лишнее.

так в том то и дело уже все убирал
минимальные данные которые отправляет берп при правильном запросе

Отправляю через зенку

ответ все равно 403 получается

 

[heks]

запрос в берпе без изменения

первый раз такое попадается что не могу запрос отправить

 

[ankur]

Отправляю через зенку

ответ все равно 403 получается

Content-Length и Host не надо писать в заголовки. Скинь Raw запроса из Burp.

 

[melutsk]

Пускай через бурп траф с зенки и смотри, что не так. Должно быть 1 в 1.

 

[heks]

Content-Length и Host не надо писать в заголовки. Скинь Raw запроса из Burp.

Content-Length знаю что можно не писать. в берпе после того как делаю запрос он автоматом создается
Host в этом запросе обязателен без него 400 ошибка выходит

HTTP/1.1 200 OK
Date: Mon, 23 Nov 2020 13:27:46 GMT
Content-Type: application/json; charset=utf-8
Content-Length: 1688
Connection: keep-alive
Set-Cookie: __cfduid=d4c84d0672605feb0e4ee3502b72dc7321606138065; expires=Wed, 23-Dec-20 13:27:45 GMT; path=/; domain=.grailed.com; HttpOnly; SameSite=Lax
CF-Ray: 5f6b3abfcfc70c36-DME
Cache-Control: max-age=0, private, must-revalidate
ETag: W/"70798e594a231dc8cce8ac31b7cfea93"
Strict-Transport-Security: max-age=31536000; includeSubDomains
Via: 1.0 spaces-router (c9d446e9ac4c), 1.1 spaces-router (c9d446e9ac4c)
CF-Cache-Status: DYNAMIC
cf-request-id: 0696e30bdd00000c3622ab1000000001
Expect-CT: max-age=604800, report-uri="https://report-uri.cloudflare.com/cdn-cgi/beacon/expect-ct"
Referrer-Policy: strict-origin-when-cross-origin
X-Content-Type-Options: nosniff
X-Download-Options: noopen
X-Frame-Options: SAMEORIGIN
X-Permitted-Cross-Domain-Policies: none
X-Request-Id: 279ba5e5-8390-febc-700c-55c211d04602
X-Runtime: 0.201694
X-Xss-Protection: 1; mode=block
Set-Cookie: feature_user_id=653abce2-46df-43b6-927e-796a64736ff0; path=/; expires=Fri, 23 Nov 2040 13:27:46 GMT; secure
Set-Cookie: csrf_token=opqaq6N%2FwvZrrvV8CdAOBWucZU%2BawZeN0CKSKClu4I9ijVT3NrSmwAfzCZa5ybQVwTOjtbu%2FwI9SchgIZsfVGw%3D%3D; path=/; expires=Tue, 24 Nov 2020 13:27:46 GMT; secure
Set-Cookie: grailed_jwt=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOjU1NjYzOTEsImp0aSI6IjNiNGZlMTA0LTk3ZjYtNDk0Mi04NWYwLTVmMjEzODE4NzhkMiIsImlzcyI6IkdyYWlsZWQtcHJvZHVjdGlvbiIsImFjdCI6ImF1dGgiLCJpYXQiOjE2MDYxMzgwNjZ9.TB87cFb0cLueggofe1nZ0Nyfh7A367u3GIZI333MtCc; path=/; expires=Fri, 23 Nov 2040 13:27:46 GMT; secure; HttpOnly
Set-Cookie: _grailed_session=YzRkUUNUaTlUdzVuMU1NRGlmbVRWaFRYRFp0aGtvQURIZm1VTkZXQlhrRTB4T2J5NlBqQU5ISFN6RzRzYmtyaWxmNGlBUmZFQnRqeHkxSXpEbklzRWF4emhOclNkZE1aVkdBMkJKZWJWMUY4VUV5NG51aWhybkVYaUdMY2NNRXA5VTJ3MGlXMElZVXc5R0VkM1p2MUh5TGJLRkQyKzNIaWc3VEw4ZnRjVTE1Qis2MkplWkkwSVNEdXp4Q0tDQjdxaFdqcEJ4QjNYbzc3STRialZWUjAxTExzZU5xWm9XMk14d0ZTR1hxTHpXVXBWbU1NZkdmYThwRVA0SE5jZFhnYzd2VTl2cTBiRmNUVFRWQ2ZPaXcyN0tidWVZL2RhdTdzWVVFb25tN0VDNFZweWViYWNXZmZ0RjhSa3d3STNkRUlyK1pHRzZrK1dVQzdpR0ZzRzJ0eHlRPT0tLUl5cEl4N0p1YS9jSWQ0UjZzVmNaN3c9PQ%3D%3D--83c00bbc4d210ba3af8740e41957cd88b4c0e8d3; path=/; expires=Tue, 24 Nov 2020 13:27:46 GMT; secure; HttpOnly
Set-Cookie: __cf_bm=7f0b6d59e90ffe6aa18bbf98407aea335fc09498-1606138066-1800-AUUjjERs5WjGgZSYEdFopP1G03e7dqSBmdE9037jOZVaVbr1Xc01x+nsxoMp9yje9rFAX0jV/IDDFPGPAjpozs0=; path=/; expires=Mon, 23-Nov-20 13:57:46 GMT; domain=.grailed.com; HttpOnly; Secure; SameSite=None
Server: cloudflare

{"data":{"token":"eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOjU1NjYzOTEsImp0aSI6IjNiNGZlMTA0LTk3ZjYtNDk0Mi04NWYwLTVmMjEzODE4NzhkMiIsImlzcyI6IkdyYWlsZWQtcHJvZHVjdGlvbiIsImFjdCI6ImF1dGgiLCJpYXQiOjE2MDYxMzgwNjZ9.TB87cFb0cLueggofe1nZ0Nyfh7A367u3GIZI333MtCc","user":{"id":5566391,"username":"heks","avatar_url":null,"bio":null,"created_at":"2020-11-22T17:47:26.999Z","height":null,"weight":null,"location":"Europe","location_abbreviation":"eu","aggregate_feedback_count":0,"total_bought_and_sold":0,"buyer_score":{"purchase_count":0,"would_sell_to_again_count":0},"seller_score":{"sold_count":0,"rating_average":null,"rating_count":0,"tag_list":[]},"seller_rating":{"rating_average":0,"rating_count":0,"tag_list":[]},"listings_for_sale_count":0,"followed_listings":[],"is_banned":false,"is_deleted":false,"is_confirmed":true,"group":"users","seller_badges_revoked":false,"shipping_address":{"addresseeName":"","street1":"","street2":"","city":"","state":"","zip":"","country":""},"follower_count":0,"following_count":0,"features":{},"email":"[email protected]","is_admin":false,"is_curator":false,"is_verified":false,"is_quick_responder":false,"is_speedy_shipper":false,"is_trusted_seller":false,"needs_to_connect_paypal_merchant_account":true,"should_sell_through_paypal_rest":true,"paypal_merchant_id":null,"paypal_id":"","default_shipping_costs":{"us":{"amount":30,"enabled":true},"ca":{"amount":30,"enabled":true},"uk":{"amount":15,"enabled":true},"eu":{"amount":15,"enabled":true},"asia":{"amount":25,"enabled":true},"au":{"amount":25,"enabled":true},"other":{"amount":25,"enabled":true}},"has_unacknowledged_violations":false,"vacation":null,"saved_searches":[]},"redirect_to":"/"}}

Пускай через бурп траф с зенки и смотри, что не так. Должно быть 1 в 1.

я снифил приложение поэтому такой возможности нет как ты говоришь

 

[melutsk]

Content-Length знаю что можно не писать. в берпе после того как делаю запрос он автоматом создается
Host в этом запросе обязателен без него 400 ошибка выходит



я снифил приложение поэтому такой возможности нет как ты говоришь

Почему нету возможности? Пусти постер через бурп.

 

[cooki]

segment id, его отправлял?

Не понятно ничего, в 9 посте у тебя то, что при снифе приложения и удачной авторизации дает бурп?
В зенке прокси бурпа пропиши и снифни.

 

[ibred]

А где потеряли параметр recaptcha_token в POST запросе?

 

[heks]

Почему нету возможности? Пусти постер через бурп.

как я на эмуляторе запущу зенку? что бы снифнуть приложение ?

segment id, его отправлял?

Не понятно ничего, в 9 посте у тебя то, что при снифе приложения и удачной авторизации дает бурп?
В зенке прокси бурпа пропиши и снифни.

куки при отправке запроса не обязательны

Токен получается даже если куков нету. Если отправляешь через берп получаешь 200 ответ

Полностью запрос когда отправляешь получаешь тоже ответ 200 и получаешь токен

А где потеряли параметр recaptcha_token в POST запросе?
Посмотреть вложение 67670

токен рекапчи ненужен когда снифаешь запросы через приложения отправляется без токена и куков. Без рекапчи должно все работать это что то с пост запросами не то у самой зенки

 

[melutsk]

Ну ты ж пишешь в проджектмейкере, установи в нем прокси 127.0.0.1:8080 или какой там порт и шли запрос, ты его увидишь в берпе. И сравнивай с тем, что ты шлешь и когда у тебя все ок. И посмотришь, в чем разница в запросах и что тебе надо еще поправить. Вот такая логика)

 

[heks]

поставил проксю в проект мейкер отправил запрос получил ответ 200 все ок
но это ответ 200 когда прокси ставишь. отладку то я делаю без проксей и при обычном запросе без проксей тоже должен ответ 200 получаться. В чем фишка?

 

[cooki]

куки при отправке запроса не обязательны

у тебя в хедере много параметров, например эти
X-Request-Id: 279ba5e5-8390-febc-700c-55c211d04602
X-Runtime: 0.201694

Как ту они работают, я не знаю, но у некоторых приложений они мониторят координаты тача, генерят всякие параметры и тд.
Например, у меня в софте X-CSRF-Token: есть, если его не передать, то шлет.
я тебе в лс написал, ответь.