Добрый день! Отслеживаю в окне трафика запросы. Есть вот такой запрос с передачей данных http://joxi.ru/p27Lz1bTNdPDpA . Пытаюсь создать свой post запрос на основе этих данных. Как правильно передать такой формат данных? Если просто скопировать данные вот так http://joxi.ru/BA04gO1ip86NYA, идет ошибка 431 . Как правильно будет их передать?
Post запрос передача данных
- Автор темы dravs
- Дата начала
AleXPrischepA
Client
- Регистрация
- 06.05.2015
- Сообщения
- 209
- Благодарностей
- 97
- Баллы
- 28
Доброго времени....
Работаю с прилой. Подскажите в какой формат надо преобразовать фото !? Пробовал в base64 не проходит...
Content-Type тоже довольно таки интересный, вродемультипар а вроде нет.... Причём встречается 2 раза !!!
POST
Content-Type: multipart/form-data; boundary=435ba4d0-facb-4f1a-bebc-bc1afa00a1c9
Content-Length: 8888888
Connection: Keep-Alive
Accept-Encoding: gzip
--435ba4d0-facb-4f1a-bebc-bc1afa00a1c9
Content-Disposition: form-data; name="apiver"
Content-Length: 3
........
--435ba4d0-facb-4f1a-bebc-bc1afa00a1c9
Content-Disposition: form-data; name="photo"; filename="android_image""
Content-Transfer-Encoding: binary
Content-Type: image/*
Content-Length: 888888
ВОТ ТУТ ДОЛЖНО БЫТЬ ФОТО
--435ba4d0-facb-4f1a-bebc-bc1afa00a1c9
Content-Disposition: form-data; name="token"
Content-Length: 32
6adcc6c61e156c2c980de5d252b85d4b
--435ba4d0-facb-4f1a-bebc-bc1afa00a1c9--
Работаю с прилой. Подскажите в какой формат надо преобразовать фото !? Пробовал в base64 не проходит...
Content-Type тоже довольно таки интересный, вродемультипар а вроде нет.... Причём встречается 2 раза !!!
POST
Content-Type: multipart/form-data; boundary=435ba4d0-facb-4f1a-bebc-bc1afa00a1c9
Content-Length: 8888888
Connection: Keep-Alive
Accept-Encoding: gzip
--435ba4d0-facb-4f1a-bebc-bc1afa00a1c9
Content-Disposition: form-data; name="apiver"
Content-Length: 3
........
--435ba4d0-facb-4f1a-bebc-bc1afa00a1c9
Content-Disposition: form-data; name="photo"; filename="android_image""
Content-Transfer-Encoding: binary
Content-Type: image/*
Content-Length: 888888
ВОТ ТУТ ДОЛЖНО БЫТЬ ФОТО
--435ba4d0-facb-4f1a-bebc-bc1afa00a1c9
Content-Disposition: form-data; name="token"
Content-Length: 32
6adcc6c61e156c2c980de5d252b85d4b
--435ba4d0-facb-4f1a-bebc-bc1afa00a1c9--
Nord
Client
- Регистрация
- 22.03.2012
- Сообщения
- 2 406
- Благодарностей
- 1 473
- Баллы
- 113
Оба совета помогли) Сдвинулся с точки - теперь ответ идет вот такой {"errors":{"status":431,"title":"Not valid xcsrf","code":431}}
В запросе монитора трафика есть эта строка похожая http://joxi.ru/Rmzg85bIMLELy2 . Как ее добавить в свой запрос правильно? Имею ввиду
Заголовок Значение
X-CSRF-Token fa8b98270b12914421b508384ba814be
AleXPrischepA
Client
- Регистрация
- 06.05.2015
- Сообщения
- 209
- Благодарностей
- 97
- Баллы
- 28
Это я в первую очередь попробовал... И увы но нет... Если ставить стандартный мультипарт то тут
все ломается... хз почему.
AleXPrischepA
Client
- Регистрация
- 06.05.2015
- Сообщения
- 209
- Благодарностей
- 97
- Баллы
- 28
Ищи запрос где отдаётся этот токен тебе, повторяй запрос, парси токен, вставляй его в запрос
Кажется нашел. Всегда перед запросом post идет в трафике get запрос, он отдает X-CSRF-Token http://joxi.ru/4AkOdQ8ik8ZaeA как я понял. Попробовал добавить в данные своего пост запроса http://joxi.ru/YmEkLY9sM751KA . Ошибка {"errors":{"status":431,"title":"Not valid xcsrf","code":431}}
nicanil
Client
- Регистрация
- 06.03.2016
- Сообщения
- 2 242
- Благодарностей
- 1 820
- Баллы
- 113
Менял не помогло. http://joxi.ru/MAjMWJbsk3plz2 Так же ругается {"errors":{"status":431,"title":"Not valid xcsrf","code":431}} . Может что-то не то вставляю. Но когда выполняю действия на сайте идет всего два запроса. Первы гет с ответом http://joxi.ru/4AkOdQ8ik8ZaeA причем данные никакие не передает, в данных пусто. Следом за ним идет мой Пост - тоже с ответом. Повторяю гет запрос, все ок, приходит такой же ответ. Теперь получается надо как-то его передать в моем Пост запросе. Если не через данные, то как можно еще попробовать?
Интересно еще вот что: xcsrf в запросах не совпадают. Пример :Монитор трафика на сайте
Нажимаю кнопку
Идет гет запрос - получается вот такой ответ http://joxi.ru/Vm6bpz9HvWLpqm
Дальше идет пост запрос - но xcsrf другой, не тот что мы получили в прошлом запросе http://joxi.ru/5mdWwovu8Q9z5r
Больше никаких запросов нет, следовательно ошибиться с запросом нельзя)
Так других запросов нет, для его получения. Только 2 запроса делается на сайте при нажатии на кнопку
Ilshakin
Client
- Регистрация
- 14.02.2017
- Сообщения
- 639
- Благодарностей
- 581
- Баллы
- 93
Так же ругается {"errors":{"status":431,"title":"Not valid xcsrf","code":431}}
сам сервер показывает вам конкретную ошибку, возможно где то упустили его смену, возможно в неверной кодировке его передаете
Ilshakin
Client
- Регистрация
- 14.02.2017
- Сообщения
- 639
- Благодарностей
- 581
- Баллы
- 93
если урл не супер-пупер-мега приватный, скинь в личку, отснифаю, посмотрю
Все советы в теме дельные! Всем спасибо! Проблема в конкретном сайте. Процитирую
Ilshakin
Этот сайт слишком сложный {"errors":{"status":431,"title":"Not valid xcsrf","code":431}
токен xcsrf проходит внутренную обсуфикацию (самописное шифрование)
и отправить тебе его нужно уже в совершенно другом формате (зашифрованном).
Поэтому у тебя и идет постоянно ошибка в неверном xcsrf
этот сайт для "продвинутого" уровня пентеста, ибо если взглянуть на кол-во передаваемых токенов - работы там предостаточно, 90% токенов идут с разных js-скриптов. Если не владеешь javascript на среднем или выше уровне или нет знакомых, кто делает деобусфикацию самописных js(расшифровку) - брось это дело
p.s Так и сделал
Всем еще раз спасибо
Ilshakin
Этот сайт слишком сложный {"errors":{"status":431,"title":"Not valid xcsrf","code":431}
токен xcsrf проходит внутренную обсуфикацию (самописное шифрование)
и отправить тебе его нужно уже в совершенно другом формате (зашифрованном).
Поэтому у тебя и идет постоянно ошибка в неверном xcsrf
этот сайт для "продвинутого" уровня пентеста, ибо если взглянуть на кол-во передаваемых токенов - работы там предостаточно, 90% токенов идут с разных js-скриптов. Если не владеешь javascript на среднем или выше уровне или нет знакомых, кто делает деобусфикацию самописных js(расшифровку) - брось это дело
p.s Так и сделал
Всем еще раз спасибо