 |
28.11.2019, 03:41
|
|
Новичок
Регистрация: 28.11.2019
Сообщений: 1
С нами:
3400886
Репутация:
0
|
|
***
|
|
|
28.11.2019, 04:43
|
|
Познавший АНТИЧАТ
Регистрация: 15.09.2013
Сообщений: 1,019
С нами:
6662486
Репутация:
24
|
|
Сообщение от Mixa_cs
↑
Добрый день. Посоветуйте хорошую программу для работы с запросами.
Телефон отсылает простой https post запрос на сервер. Я хотел бы повторить этот запрос через компьютер. Пытался через Fiddler, Charles, Postman. Везде, при отправлении сохраненного запроса, сервер возвращает ошибку 401. Только если запрос идет через телефон, то возвращается 301. Несколько дней ломаю голову, через HEX смотрел, они идентичны . Мне нужно просто сделать повтор и чтобы сервер его принял.
Ключевое слово https.
Ты не можешь просто взять чужой запрос и с его помощью авторизоваться
|
|
|
|
28.11.2019, 13:30
|
|
Постоянный
Регистрация: 16.11.2018
Сообщений: 620
С нами:
3943766
Репутация:
47
|
|
Сообщение от DartPhoenix
↑
Ключевое слово
https
.
Ты не можешь просто взять чужой запрос и с его помощью авторизоваться
Если бы он не видел трафик, то и не смог бы увидеть что это ошибка 401.
Сообщение от Mixa_cs
↑
Добрый день. Посоветуйте хорошую программу для работы с запросами.
Телефон отсылает простой https post запрос на сервер. Я хотел бы повторить этот запрос через компьютер. Пытался через Fiddler, Charles, Postman. Везде, при отправлении сохраненного запроса, сервер возвращает ошибку 401. Только если запрос идет через телефон, то возвращается 301. Несколько дней ломаю голову, через HEX смотрел, они идентичны . Мне нужно просто сделать повтор и чтобы сервер его принял.
Опишите что вы делаете и как. Вы ставите в айфон прокси и снифаете трафик, так? В прокси вы видете нормальный текст запроса? 401 это ошибка аутентификации, тоесть что-то в вашем запросе не так.
|
|
|
|
28.11.2019, 20:02
|
|
Познающий
Регистрация: 03.07.2019
Сообщений: 50
С нами:
3614006
Репутация:
0
|
|
Charles отлично подходит, правда он не бесплатные, но есть триал версия
|
|
|
|
28.11.2019, 20:29
|
|
Познающий
Регистрация: 03.07.2019
Сообщений: 50
С нами:
3614006
Репутация:
0
|
|
Сообщение от Mixa_cs
↑
Не работает
Сколько раз пользовался, всегда все работало, не думаю что дело в программе
|
|
|
|
29.11.2019, 08:29
|
|
Постоянный
Регистрация: 16.11.2018
Сообщений: 620
С нами:
3943766
Репутация:
47
|
|
Сообщение от Mixa_cs
↑
Да, Charles работает в течении 8 секунд, после запроса с телефона, потом 401. Я бы хотел чтобы повтор полностью имитировал отправку с телефона и время сессии начиналось заново.
Ну тогда там скорее всего всё-таки есть время отправки, которое отправляется в теле запроса. Тоесть запрос действителен в течение 8 секунд, а потом сервак его уже отбрасывает.
К тому же у вас первый запрос идёт как цифровая подпись
Сообщение от Mixa_cs
↑
Content-Type: application/pkcs7-signature
а на фото в чарли идёт как
Код:
Contect-Type: text/xml
|
|
|
|
30.11.2019, 02:22
|
|
Постоянный
Регистрация: 16.11.2018
Сообщений: 620
С нами:
3943766
Репутация:
47
|
|
Сообщение от Mixa_cs
↑
burp suite, firefox тоже при воспроизведении дают ошибку.
Возможность сделать повтор мне нужна для ручного редактирования запроса. Раз это не получилось сделать, я написал скрипт для Fiddler, который меняет body request на лету, чтобы уложиться в 8 секунд:
static function OnBeforeRequest(oSession: Session) {
if (oSession.fullUrl=="http://test.ru/api/data") {
var rep = System.IO.File.ReadAllBytes("replace.txt");
oSession.requestBodyBytes = rep;
}
Для теста я сохранил оригинальное тело запроса в replace.txt. Теперь post запрос опять выдает 401, хотя подмена происходит на лету за 1 секунду.
Итог: если я через Fiddler меняю тело запроса на тоже самое что и было - 401, если просто пропускаю оригинал -301.
Я не понимаю как сервер видит подмену тела запроса, если по факту подменные данные до бита совпадают с оригинальными( Короче полная *опа.
Ну если у вас идёт в запросе цифровая подпись, то поменять вам тело запроса на что-либо чей срок действителности уже истёк, вам совершенно ничего не даст.
|
|
|
|
30.11.2019, 13:33
|
|
Постоянный
Регистрация: 16.11.2018
Сообщений: 620
С нами:
3943766
Репутация:
47
|
|
Сообщение от Mixa_cs
↑
Нет, в описанном мною тесте я меняю через Fiddler данные на абсолютно идентичные, взятые из оригинального запроса. Просто делаю через скрипт подмену, но в итоге данные те же.
Получается:
1. post request (123123) --------> Fidler (пропускаем без изменений) -------> сервер OK (301)
2. post request (123123) ---> Fidler (скрипт меняет 123123 на 123123) ---> сервер Error (401)
Данные post request неизменны, хоть 100 запросов сделать, тело всегда одинаковое, никаких timeshtamp в нем нет. Если сравнивать через HEX, запросы идентичны до байта.
Через WireShark виден обмен через протокол защиты транспортного уровня TLS 1.2 скорее всего дело в нем.
Ну тогда бы он у вас не первый не второй раз в Charles в течение первых 8 секунд не прошёл-бы.
Есть такая тема как TLS fingerprint и по нему можно с определённой точностью фильтровать клиентов, но тогда по логике у вас бы изначально запрос не проходил бы. CSRF-Token (его у вас в запросе и не видно) тоже можно исключить, так как либо один раз и всё, либо много-много-много раз и серваку пофиг. Но в ответе видно что вам отдаётся печенька "__cfduid" от Cloudflare, которые вполне могут это пресекать.
|
|
|
|
|
|
Предыдущая тема
Следующая тема
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
