Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Интернет » В помощь вебмастеру » Непонятки с авторизацией.

Модерирует : Cheery

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

destiny child



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть сайт. Увы, внутренний, и увидеть его нельзя снаружи.
Надо автоматизировать на нем рутину. Но первое - что делается на сайте - это авторизация пользователя.
И хотя по внешним признакам адресной строки в деле oauth2 авторизация, но она явно "допилена".
Т.к. логином является не client_id какой-то персональный, а номер телефона. И client_id как раз-таки - там просто статичная строка, хотя по всем теориям этой авторизации именно это поле должно было бы уникально определять пользователя...  
И КАК вот пройти такую авторизацию насквозь силами стороннего высокоуровневого ЯП - неясно. В нем я могу использовать тот же curl, к примеру, чтобы имитировать действия пользователя на странице браузера. Но, черт возьми, я не пойму - а как дублировать всё тот множество запросов, которые по факту генерятся в процессе авторизации. Не тупо же один за одним их гнать. Некоторые там явно "в довесок", но никак не для сути авторизации вызываются...
Может все же у oauth2 стратегии есть какой-то набор запросов, выполнив которые можно и без логина в виде телефона пройти её?

Всего записей: 3401 | Зарегистр. 01-04-2006 | Отправлено: 19:11 15-03-2023
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
destiny child

Цитата:
Т.к. логином является не client_id какой-то персональный, а номер телефона.

почему телефон не может быть логином?
 

Цитата:
хотя по всем теориям этой авторизации именно это поле должно было бы уникально определять пользователя...  

с чего бы? https://www.oauth.com/oauth2-servers/client-registration/client-id-secret/

Цитата:
После регистрации приложения сервис создаст учётные данные клиента - идентификатор клиента (client ID) и секрет клиента (client secret). Идентификатор клиента представляет собой публично доступную строку, которая используется API сервиса для идентификации приложения, а также используется для создания авторизационных URL для пользователей. Секрет клиента используется для аутентификации подлинности приложения для API сервиса, когда приложение запрашивает доступ к аккаунту пользователя. Секрет клиента должен быть известен только приложению и API.

 

Цитата:
 Не тупо же один за одним их гнать.

получить форму, вытащить из нее токен, если есть, создать POST запрос, получить ответ. все - сохраняя куки.
 
https://www.digitalocean.com/community/tutorials/oauth-2-ru

Всего записей: 15224 | Зарегистр. 20-09-2014 | Отправлено: 20:51 15-03-2023 | Исправлено: Mavrikii, 20:57 15-03-2023
destiny child



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mavrikii (пост)
Цитата:
получить форму, вытащить из нее токен, если есть

Было б так просто - не писал бы тут.
Сперва один GET запрос, потом второй, потом грузиться qrator/qauth_utm_v2.js файл, исполняется похоже, ибо потом идет третий запрос, в котором есть характерные qrator_xxx переменные, которые явно были созданы в теле скрипта, потом опять новый запрос. потом генерация шаблона страницы для ввода номера телефона, по которому и будет происходить реальная авторизация. Потом генерация шаблона страницы для ввода пароля, опять запрос-проверка. И лишь теперь просто ожидание действий от пользователя, которые я могу повторять, ибо на этот момент получены АЖ 5 полей в кукисах, по которым пройдена проверка и выполнена авторизация.
Я пока не понимаю - как это можно просто повторить.

Всего записей: 3401 | Зарегистр. 01-04-2006 | Отправлено: 17:51 16-03-2023
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
destiny child

Цитата:
потом грузиться qrator/qauth_utm_v2.js файл, исполняется похоже

Это не имеет отношение к Oauth2, это сервис DDoS защиты.
Поэтому с имитацией запросов будет ну очень сложно.

Всего записей: 15224 | Зарегистр. 20-09-2014 | Отправлено: 18:20 16-03-2023 | Исправлено: Mavrikii, 18:21 16-03-2023
destiny child



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mavrikii (пост)
Цитата:
это сервис DDoS защиты.
оооооооооооооооооооооооооооуууууууууууууууууччччччччччч......
блин.... спасибо за уточнение....

Всего записей: 3401 | Зарегистр. 01-04-2006 | Отправлено: 18:54 16-03-2023
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
destiny child
ну и от ботов тоже - https://qrator.net/ru/

Всего записей: 15224 | Зарегистр. 20-09-2014 | Отправлено: 20:33 16-03-2023
destiny child



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mavrikii
может и так, но кой-какие "птички" прислали инфу, что все же сделали бота на сайт. Чужие дяди.
Т.е. в принципе похоже можно с сайтом общаться, даже при таких способах защиты. Т.е. проблема лишь в первичной авторизации. И получении всех этих 5 токенов/переменных. Чтобы потом их использовать как часть обычных GET/POST запросов на глубине нахождения бизнес-логики работы сайта....
Отсюда вопрос - может же такое быть, чтобы при помощи - не знаю, скрипта на питоне?, особой сборки особого браузера? - они получают эти данные? Ведь все же можно же как-то открыть эту первичную страницу в режиме полной эмуляции, поработать реально ручками - потыкать, повводить нужное, а потом, после того как сгрепил все 5 токенов - запускать уже обычный и привычный бот обслуживания...

Всего записей: 3401 | Зарегистр. 01-04-2006 | Отправлено: 21:06 16-03-2023
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
destiny child

Цитата:
сайтом общаться, даже при таких способах защиты

можно, используя браузер, к примеру, или его движок. ну либо анализиуя все, что делается, но это неудобно, так как если что поменяется, то снова изучать.
 
к примеру - https://github.com/php-webdriver/php-webdriver

Всего записей: 15224 | Зарегистр. 20-09-2014 | Отправлено: 21:19 16-03-2023 | Исправлено: Mavrikii, 21:20 16-03-2023
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Интернет » В помощь вебмастеру » Непонятки с авторизацией.


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru