Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  5 3773
Hei!

Får håpe jeg ikke er altfor diffus nå, men...

På en nettside så er der en knapp jeg kan klikke på, og når jeg klikker på den, så sendes det avgårde en POST-request med header-verdier som er satt av nettsiden, og en body-verdi som er delvis satt av nettsiden, og delvis satt av meg i et text-input-felt. Jeg tenkte å prøve å få sendt denne samme requesten, bare med annerledes body (modifisere den delen jeg ikke kontrollerer via input-feltet).

Jeg prøvde litt med Postman, men jeg skjønte egentlig ikke så veldig mye av den appen, annet enn at jeg fikk sendt avgårde et par forskjellige forsøk, hvor den ene returnerte kode 307, og den andre returnerte 200 OK, men uten at jeg oppnådde ønsket resultat (eller noe som helst forøvrig, det var ingen tegn til at jeg hadde sendt noe som helst).

Jeg trodde egentlig at jeg kunne litt om HTTP-requests, men her ble jeg perpleks. Headeren inneholdt noen flere felter enn jeg er vant til, og Cookie-feltet inneholder 2035 tegn, og inkluderer både sessid, userid, access_token, refresh_token, expires_in, server_time, og helt sikkert andre ting jeg ikke ser inni det clusterfucket av tegn... Antakelig er det noe her jeg ikke forstår helt, for resten av requesten ser egentlig ganske enkel og grei ut (så vidt jeg kan se).

Det skal vel være mulig å imitere POST-requesten som sendes av en knapp, manuelt? For serveren er det vel samme om requesten kommer fra en knapp eller fra en terminal?


Recap:
Jeg har en request som har funket fint da den ble sent via knapp. Jeg vil bare endre body-en. Forstår at jeg dermed også må endre Content-length-headeren. Må vel kanskje endre cookie-verdien/timestamps også? Hvordan skal jeg gå frem?

Og finnes det enklere måter å sende requests på enn f.eks. Postman? Kan jeg komponere en request helt selv f.eks. i en teksteditor, og sende via terminalen? Jeg ser jo for meg at det er såpass små endringer fra den vellykkede requesten jeg allerede har, at det kan være like så greit å gjøre det manuelt uten forvirrende apps.

Er det noen som har tanker om fremgangsmåte eller generelle tips til hva jeg bør tenke på, så tas det i mot med stor takk!
Via terminalen kan du bruke curl, den er enkel men postmann er enklere.

Postmann er et av det enkleste og beste verktøyene jeg har brukt, og bruker det hele tiden på jobb. Så tror det burde kunne løse problemet ditt, så tror det letteste er å heller prøve å lære verktøyet og HTTP protokollen ordentlig. Og se hva som kan være feil. Har du kanskje noen fler detaljer?
Hva er det du ikke forstår?

Postmann skal forresten kunne sette content lenth for deg, og den skal sette den til størrelse på body.
Sist endret av etse; 8. juli 2018 kl. 16:51.
Trådstarter
Sitat av etse Vis innlegg
Hva er det du ikke forstår?
Vis hele sitatet...
Hehe, jeg forstår ikke hvorfor ikke mitt tidligere forsøk funket.
Så vidt jeg kan skjønne, så klarte jeg å sende nøyaktig samme request som den automatiske, vellykkede, bare med endret body og content-length. Antar da at det er Cookie-verdien som ikke ble godkjent, og det gir jo forsåvidt mening for meg om man ikke skal kunne bare gjenbruke samme cookie-verdi flere ganger, mtp timestamps og session-IDs osv.

Er det mulig å intercepte en legitim request, f.eks. slik at når jeg klikker på knappen for å sende en vanlig request, så blir body og content-length endret til min ønskede verdi, mens Cookie-verdien sklir gjennom og forblir den automatiske, og dermed forhåpentligvis funker?

Mulig jeg er fullstendig ute å kjøre her, men...

Sitat av etse Vis innlegg
Postmann skal forresten kunne sette content lenth for deg, og den skal sette den til størrelse på body.
Vis hele sitatet...
Ja, så det sto noe om det ("Use Postman Interceptor"), men jeg ser ingenting jeg kan klikke på for å få den til å gjøre det. Mulig det er lett når man kan det, men som ny bruker så synes jeg brukergrensesnittet her var lite intuitivt.
Kanskje teste Burpsuite?
Dersom du klarer å reprodusere skjemaet kan du prøve å sette det opp på egen server for å teste.
Du skrev at du fikk 200 gjennom Postman på det ene forsøket ditt. Det indikerer at du har fått cookien til å fungere. Så da kan det kanskje være at du sender ugyldig data i den andre requesten din?