Post запрос передача данных

dravs

Client
Регистрация
12.08.2019
Сообщения
46
Благодарностей
13
Баллы
8
Добрый день! Отслеживаю в окне трафика запросы. Есть вот такой запрос с передачей данных http://joxi.ru/p27Lz1bTNdPDpA . Пытаюсь создать свой post запрос на основе этих данных. Как правильно передать такой формат данных? Если просто скопировать данные вот так http://joxi.ru/BA04gO1ip86NYA, идет ошибка 431 . Как правильно будет их передать?
 

Nord

Client
Регистрация
22.03.2012
Сообщения
2 406
Благодарностей
1 473
Баллы
113
HTTP 431 Request Header Fields Too Large

что там на вкладке параметров запроса в заголовках и куках?
 

nicanil

Client
Регистрация
06.03.2016
Сообщения
2 242
Благодарностей
1 820
Баллы
113
Так же попробуйте сменить тип данных на application/json
74314
 

AleXPrischepA

Client
Регистрация
06.05.2015
Сообщения
209
Благодарностей
97
Баллы
28
Доброго времени....

Работаю с прилой. Подскажите в какой формат надо преобразовать фото !? Пробовал в base64 не проходит...
Content-Type тоже довольно таки интересный, вродемультипар а вроде нет.... Причём встречается 2 раза !!!

POST
Content-Type: multipart/form-data; boundary=435ba4d0-facb-4f1a-bebc-bc1afa00a1c9
Content-Length: 8888888
Connection: Keep-Alive
Accept-Encoding: gzip


--435ba4d0-facb-4f1a-bebc-bc1afa00a1c9
Content-Disposition: form-data; name="apiver"
Content-Length: 3

........

--435ba4d0-facb-4f1a-bebc-bc1afa00a1c9
Content-Disposition: form-data; name="photo"; filename="android_image""
Content-Transfer-Encoding: binary
Content-Type: image/*
Content-Length: 888888

ВОТ ТУТ ДОЛЖНО БЫТЬ ФОТО

--435ba4d0-facb-4f1a-bebc-bc1afa00a1c9
Content-Disposition: form-data; name="token"
Content-Length: 32

6adcc6c61e156c2c980de5d252b85d4b
--435ba4d0-facb-4f1a-bebc-bc1afa00a1c9--
 

Nord

Client
Регистрация
22.03.2012
Сообщения
2 406
Благодарностей
1 473
Баллы
113

dravs

Client
Регистрация
12.08.2019
Сообщения
46
Благодарностей
13
Баллы
8
Так же попробуйте сменить тип данных на application/json
Посмотреть вложение 74314
HTTP 431 Request Header Fields Too Large

что там на вкладке параметров запроса в заголовках и куках?
Оба совета помогли) Сдвинулся с точки - теперь ответ идет вот такой {"errors":{"status":431,"title":"Not valid xcsrf","code":431}}
В запросе монитора трафика есть эта строка похожая http://joxi.ru/Rmzg85bIMLELy2 . Как ее добавить в свой запрос правильно? Имею ввиду
Заголовок Значение
X-CSRF-Token fa8b98270b12914421b508384ba814be
 

AleXPrischepA

Client
Регистрация
06.05.2015
Сообщения
209
Благодарностей
97
Баллы
28
Просто указать ссылку на фото ( c:\\papka\foto.jpg)
Это я в первую очередь попробовал... И увы но нет... Если ставить стандартный мультипарт то тут
Content-Disposition: form-data; name="photo"; filename="android_image""
Content-Transfer-Encoding: binary
Content-Type: image/*
все ломается... хз почему.
 

AleXPrischepA

Client
Регистрация
06.05.2015
Сообщения
209
Благодарностей
97
Баллы
28
Оба совета помогли) Сдвинулся с точки - теперь ответ идет вот такой {"errors":{"status":431,"title":"Not valid xcsrf","code":431}}
В запросе монитора трафика есть эта строка похожая http://joxi.ru/Rmzg85bIMLELy2 . Как ее добавить в свой запрос правильно? Имею ввиду
Заголовок Значение
X-CSRF-Token fa8b98270b12914421b508384ba814be
Ищи запрос где отдаётся этот токен тебе, повторяй запрос, парси токен, вставляй его в запрос
 
  • Спасибо
Реакции: dravs

dravs

Client
Регистрация
12.08.2019
Сообщения
46
Благодарностей
13
Баллы
8

dravs

Client
Регистрация
12.08.2019
Сообщения
46
Благодарностей
13
Баллы
8
Ищи запрос где отдаётся этот токен тебе, повторяй запрос, парси токен, вставляй его в запрос
Кажется нашел. Всегда перед запросом post идет в трафике get запрос, он отдает X-CSRF-Token http://joxi.ru/4AkOdQ8ik8ZaeA как я понял. Попробовал добавить в данные своего пост запроса http://joxi.ru/YmEkLY9sM751KA . Ошибка {"errors":{"status":431,"title":"Not valid xcsrf","code":431}}
 

nicanil

Client
Регистрация
06.03.2016
Сообщения
2 242
Благодарностей
1 820
Баллы
113

dravs

Client
Регистрация
12.08.2019
Сообщения
46
Благодарностей
13
Баллы
8
Менял не помогло. http://joxi.ru/MAjMWJbsk3plz2 Так же ругается {"errors":{"status":431,"title":"Not valid xcsrf","code":431}} . Может что-то не то вставляю. Но когда выполняю действия на сайте идет всего два запроса. Первы гет с ответом http://joxi.ru/4AkOdQ8ik8ZaeA причем данные никакие не передает, в данных пусто. Следом за ним идет мой Пост - тоже с ответом. Повторяю гет запрос, все ок, приходит такой же ответ. Теперь получается надо как-то его передать в моем Пост запросе. Если не через данные, то как можно еще попробовать?
Интересно еще вот что: xcsrf в запросах не совпадают. Пример :Монитор трафика на сайте
Нажимаю кнопку
Идет гет запрос - получается вот такой ответ http://joxi.ru/Vm6bpz9HvWLpqm
Дальше идет пост запрос - но xcsrf другой, не тот что мы получили в прошлом запросе http://joxi.ru/5mdWwovu8Q9z5r
Больше никаких запросов нет, следовательно ошибиться с запросом нельзя)
 

Ilshakin

Client
Регистрация
14.02.2017
Сообщения
639
Благодарностей
581
Баллы
93
скорее всего передаете неверный xcsrf токен, в следствии чего и получается на запрет дальнейший действий
xcsrf всегда самообновляемый и от запроса к запросу его значение меняется
 

dravs

Client
Регистрация
12.08.2019
Сообщения
46
Благодарностей
13
Баллы
8
скорее всего передаете неверный xcsrf токен, в следствии чего и получается на запрет дальнейший действий
xcsrf всегда самообновляемый и от запроса к запросу его значение меняется
Так других запросов нет, для его получения. Только 2 запроса делается на сайте при нажатии на кнопку
 

Ilshakin

Client
Регистрация
14.02.2017
Сообщения
639
Благодарностей
581
Баллы
93
Так других запросов нет, для его получения. Только 2 запроса делается на сайте при нажатии на кнопку
Так же ругается {"errors":{"status":431,"title":"Not valid xcsrf","code":431}}
сам сервер показывает вам конкретную ошибку, возможно где то упустили его смену, возможно в неверной кодировке его передаете
 

dravs

Client
Регистрация
12.08.2019
Сообщения
46
Благодарностей
13
Баллы
8

Ilshakin

Client
Регистрация
14.02.2017
Сообщения
639
Благодарностей
581
Баллы
93
  • Спасибо
Реакции: dravs

dravs

Client
Регистрация
12.08.2019
Сообщения
46
Благодарностей
13
Баллы
8
Все советы в теме дельные! Всем спасибо! Проблема в конкретном сайте. Процитирую
Ilshakin
Этот сайт слишком сложный {"errors":{"status":431,"title":"Not valid xcsrf","code":431}
токен xcsrf проходит внутренную обсуфикацию (самописное шифрование)
и отправить тебе его нужно уже в совершенно другом формате (зашифрованном).
Поэтому у тебя и идет постоянно ошибка в неверном xcsrf
этот сайт для "продвинутого" уровня пентеста, ибо если взглянуть на кол-во передаваемых токенов - работы там предостаточно, 90% токенов идут с разных js-скриптов. Если не владеешь javascript на среднем или выше уровне или нет знакомых, кто делает деобусфикацию самописных js(расшифровку) - брось это дело

p.s Так и сделал :D Всем еще раз спасибо
 

Кто просматривает тему: (Всего: 1, Пользователи: 0, Гости: 1)