Авторизация на каком-то сайте про линуксы

0

1

Подскажите, у кого-нибудь получается залогиниться программно на ЛОРе? Пытаюсь сделать уведомлялку себе на телефон, но на все попытки залогиниться получаю 403. Вот код на всякий случай(Android если это важно) -

final HttpsURLConnection cn = (HttpsURLConnection) new URL("https://www.linux.org.ru//login_process").openConnection();
cn.setRequestMethod("POST");
String charset = "UTF-8";
String query = "csrf=" + URLEncoder.encode("myMS4KQMs9rc40AXyaKG1w==", charset) + "&user=pseudo-cat" + "&passwd=areukidding";
cn.setRequestProperty("Accept-Charset", charset);
cn.setRequestProperty("Content-Type", "application/x-www-form-urlencoded");
cn.setRequestProperty("Content-Length", "" + Integer.toString(query.getBytes().length));
cn.setRequestProperty("Content-Language", "en-US");
cn.setRequestProperty("USER-AGENT", "Mozilla/5.0");
OutputStream os = cn.getOutputStream();
byte[] bdata = query.getBytes(charset);
os.write(bdata);

cn.connect();
int responseCode= cn.getResponseCode();

Сейчас бы в 2017 когда у сайтов не было открытых API)

Ссылка

←	Проблемы в самописном модуле обработки сетевых пакетов в ядре.

OpenCV, ANPR, Haar - производительность

→

Сейчас бы XXX

Что за странный оборот речи, набирающий популярность?

Chaser_Andrey ★★★★★
(16.08.17 23:12:51 MSK)

Ссылка

csrf

Обычно сначала читают страницу GETом, получают csrf, а потом используют в POSTах. Да, и куки так же.

bvn13 ★★★★★
(16.08.17 23:18:35 MSK)

mikhail@nova ~ $ curl --cookie "CSRF_TOKEN=1" -d"csrf=1&nick=jollheef&passwd=${PASSWORD}" https://www.linux.org.ru/ajax_login_process
{                                                                             
  "username" : "jollheef",                      
  "loggedIn" : true                           
}%

Deleted
(16.08.17 23:28:55 MSK)

Ответ на: комментарий от bvn13 16.08.17 23:18:35 MSK

Разве csrf не приходит в cookies и их и нужно просто сохранять в сессии при POST запросах?

conformist ★★★
(16.08.17 23:42:20 MSK)

Ответ на: комментарий от conformist 16.08.17 23:42:20 MSK

зависит от. иногда в meta-тегах, иногда в hidden input-ах.

Но корсы живут в рамках сессии (если там настоящая секурность). Поэтому надежно получать их ГЕТом перед ПОСТом.

bvn13 ★★★★★
(16.08.17 23:50:42 MSK)
Последнее исправление: bvn13 16.08.17 23:51:48 MSK (всего исправлений: 1)

Ответ на: комментарий от bvn13 16.08.17 23:50:42 MSK

csrf генерируется сервером когда шлёт форму клиенту, а при отправке формы отдаётся обратно серверу. Это всё происходит исключительно в cookies, незаметно для клиента.

Таким образом сервер знает что эта форма пришла от того же клиента, которому он её отдал.

Поэтому надежно получать их ГЕТом перед ПОСТом.

А вот с этим полностью согласен.

conformist ★★★
(16.08.17 23:55:30 MSK)
Последнее исправление: conformist 16.08.17 23:56:47 MSK (всего исправлений: 1)

Ответ на: комментарий от conformist 16.08.17 23:55:30 MSK

почитай: https://docs.spring.io/spring-security/site/docs/current/reference/html/csrf....

bvn13 ★★★★★
(16.08.17 23:58:38 MSK)

Ответ на: комментарий от bvn13 16.08.17 23:58:38 MSK

Спасибо. Теперь согласен.

conformist ★★★
(17.08.17 00:19:44 MSK)

Ссылка

Ответ на: комментарий от Deleted 16.08.17 23:28:55 MSK

@jollheef спасибо тебе огромное, ты крут! что я только не делал пока не поставил csrf=1

pseudo-cat ★★★
(17.08.17 00:30:04 MSK) автор топика

Ссылка

неужели у ЛОР(!) нет RPC-API?

anonymous
(17.08.17 00:44:38 MSK)

Ответ на: комментарий от anonymous 17.08.17 00:44:38 MSK

неужели у ЛОР(!) нет REST-API?

anonymous
(18.08.17 08:46:20 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Проблемы в самописном модуле обработки сетевых пакетов в ядре.

Development

OpenCV, ANPR, Haar - производительность

→

Похожие темы