Авторизация на сайте с помощью PHP

Menro

Menro

web, seo, email, hack
Регистрация
27 Янв 2008
Сообщения
689
Реакции
138
Всем привет!
Пытаюсь осознать как можно авторизоваться на сайте Для просмотра ссылки Войди или Зарегистрируйся через PHP скрипт.
Проснифал POST запросы, которые создаются при нажатии кнопки "Войти", но там ничего не понятно толком.
Во-первых всё шифруется в base64. Вот запрос на авторизацию.

Для просмотра ссылки Войди или Зарегистрируйся

{"typ":"JWT","alg":"HS256"}{"sub":-1,"exp":1583764099,"iss":"passport-anonymous","username":"anonymous","session":"3ab3431a-c9a3-422d-a8fa-96b9f7346bf1","Policy":null}
(вот такое если расшифровать).

Здесь мне ничего не понятно, вижу логин (но почему-то вместо реального, вот такой: anonymous, пароля в запросе вообще не видно).

Для просмотра ссылки Войди или Зарегистрируйся (потом ещё запрос)

{"typ":"JWT","alg":"HS256"}{"sub":"583283","exp":1583764099,"iss":"passport","username":"test@mail.ru","session":"8f9ed3e7-5d3c-4a22-8b56-eaab5a020602","refresh_token":"26uQYdsJnTT3l4b7SqyQm6o3lcRLVfqJWCKxq9AgjB1zZNSZZdO1fFxxO1GqzUIaqcP4ggmx0w0GzbN2nRgG9ZcvN35A3DM9AmyvT1TUBhvpDSUbYFq964kAWYMkcuFH4IWJ1i33Qm8QHdBt3RMW5BzPib3fsx0RJJWMchjH3socSJEzL9HJxpc3WuaTDUbJN5wzRIJvMzN7C0jLeW1TsTgKzRs9VmqFwkAL3RuqOcXtwXFf0HcYjqyHeUJXHBVc","Policy":null}

Вот здесь уже реальный E-mail.


В итоге, не пойму как сформировать запрос на авторизацию.
Возможно ли это вообще?
Может кто что подскажет, что для этого есть?
Любая полезная информация. Спасибо!
 
Menro написал(а):
Всем привет!
Пытаюсь осознать как можно авторизоваться на сайте Для просмотра ссылки Войди или Зарегистрируйся через PHP скрипт.
Проснифал POST запросы, которые создаются при нажатии кнопки "Войти", но там ничего не понятно толком.

Во-первых всё шифруется в base64. Вот запрос на авторизацию.
Нажмите для раскрытия...

base64 это кодирование, а не шифрование. Бинарные 8-битные данные преобразовываются в другой алфавит (который состоит из 64 символов).

Для просмотра ссылки Войди или Зарегистрируйся

{"typ":"JWT","alg":"HS256"}{"sub":-1,"exp":1583764099,"iss":"passport-anonymous","username":"anonymous","session":"3ab3431a-c9a3-422d-a8fa-96b9f7346bf1","Policy":null}
(вот такое если расшифровать).

Здесь мне ничего не понятно, вижу логин (но почему-то вместо реального, вот такой: anonymous, пароля в запросе вообще не видно).
Нажмите для раскрытия...

В данном случае сервер вернул что пользователь не авторизирован.
Снифф здесь нужно делать более расширенно. Почитайте про JWT авторизацию как в принципе. И про CSRF. Это поможет понять что происходит. Там есть определенные последовательности действий. Кратко - пост запросов там недостаточно. Нужно еще с заголовками работать и с куками более расширено. Например Authorization: bearer. И про рефреш токена тоже.
В данном случае еще обратите внимание на куки.

Для просмотра ссылки Войди или Зарегистрируйся (потом ещё запрос)

{"typ":"JWT","alg":"HS256"}{"sub":"583283","exp":1583764099,"iss":"passport","username":"test@mail.ru","session":"8f9ed3e7-5d3c-4a22-8b56-eaab5a020602","refresh_token":"26uQYdsJnTT3l4b7SqyQm6o3lcRLVfqJWCKxq9AgjB1zZNSZZdO1fFxxO1GqzUIaqcP4ggmx0w0GzbN2nRgG9ZcvN35A3DM9AmyvT1TUBhvpDSUbYFq964kAWYMkcuFH4IWJ1i33Qm8QHdBt3RMW5BzPib3fsx0RJJWMchjH3socSJEzL9HJxpc3WuaTDUbJN5wzRIJvMzN7C0jLeW1TsTgKzRs9VmqFwkAL3RuqOcXtwXFf0HcYjqyHeUJXHBVc","Policy":null}

Вот здесь уже реальный E-mail.
Нажмите для раскрытия...

А здесь уже запрос идет с отправкой уже полученного после авторизации токена. Он был получен на этапе проверки логина и пароля.

В итоге, не пойму как сформировать запрос на авторизацию.
Возможно ли это вообще?
Может кто что подскажет, что для этого есть?
Любая полезная информация. Спасибо!
Нажмите для раскрытия...

Вполне возможно. На самом деле если разобраться в принципах JWT авторизации то Вы поймете что там ничего реально сложного нет. Просто нужно осмыслить саму концепцию.
Для просмотра ссылки Войди или Зарегистрируйся - основной ресурс по этой теме. На хабре много разбирают эту тему.

Сейчас уже не достаточно отправить логин и пароль, получить куку и отправлять ее с каждым запросом. Есть куча методов для того, чтобы минимизировать ущерб от взломов. И усложнения типа JWT как раз по этой теме.
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху