Веб-аутентификация через POST запрос. Что делаю не так?

r00d1k · 07.03.2009

та ну... нафиг?

BFG-9000 · 07.03.2009

r00d1k сказав(ла):
перд хттп анализеров я юзал Wireshark - толи с синтаксисом фильтра не разобрался(лепил туда как если бы это был sql), толи Wireshark какой-то хреновый.

Точно что не разобрался. Хотя и без разбирательств там есть отличный построитель фильтров. Конечно надо минимум знаний о том, какими же характеристиками и параметрами обладает пакет данных или поток данных на каждом уровне стека

r00d1k · 07.03.2009

BFG-9000 сказав(ла):
Точно что не разобрался. Хотя и без разбирательств там есть отличный построитель фильтров. Конечно надо минимум знаний о том, какими же характеристиками и параметрами обладает пакет данных или поток данных на каждом уровне стека

не сомневайся, со сниферами я работаю далеко не в первый раз!
а времени на разбирательство с синтаксисом и логикой Wireshark небыло и я выбрал другой снифер, который кстате тоже не логично работает в некоторых местах. пример нелогичности в Http Analizer:

Wireshark:

ммм.... БЛЯТЬ!
чтобы показать бок - перекачал Wireshark, перустановил, запустил, вбил фильтр: "ip.addr == 209.62.124.242 and http"
И, СУКА, РАБОАТЕТ!!!!!!!!!
блять, я между этими запусками винду переребучивал. и это уже второй случай, что всплывают такого рода бока, не дружащие с логикой, которые разруливаются перезагрузкой системы! пздез! вот и доверяй виндовым серверам после этого, если после 20-30 дней аптайма начинается херня.
ну блять, я в шоке! вот скрин, что все пашет!

"ip.addr == 209.62.124.242 and http"

"(http.request.method == "POST" or http.request.method == "GET") and ip.addr == 209.62.124.242"

maxshevtsov · 16.03.2009

Вы пытаетесь с конкретным сайтом, или со всеми.
Например я пишу в login.php что login и password приходят постом $_POST['login'].
Пункт 3 мне с гетом не понятен, потом можно указать источник отправителя формы, чтоб вы мне форму не послали со своего сайта.

r00d1k · 16.03.2009

maxshevtsov сказав(ла):
Вы пытаетесь с конкретным сайтом, или со всеми.

конкретным ессно.

maxshevtsov сказав(ла):
Например я пишу в login.php что login и password приходят постом $_POST['login'].

хочу на это посмотреть, если логин и пароль будет приходить с гетом $_GET['somebody'].

maxshevtsov сказав(ла):
Пункт 3 мне с гетом не понятен,

вот это называется гет запрос:

Код:

[COLOR="Red"]GET [/COLOR]/autoupdate/HttpAnalyzerFullV2.inf HTTP/1.1
Accept: text/html, */*
User-Agent: HTTPClient (ieinspector.com)
Host: www.ieinspector.com
Connection: Keep-Alive

maxshevtsov сказав(ла):
потом можно указать источник отправителя формы, чтоб вы мне форму не послали со своего сайта.

ЩИТО?

BFG-9000 · 16.03.2009

r00d1k сказав(ла):
И, СУКА, РАБОАТЕТ!!!!!!!!!
блять, я между этими запусками винду переребучивал. и это уже второй случай, что всплывают такого рода бока, не дружащие с логикой, которые разруливаются перезагрузкой системы!

Вообще-то многие приложения требуют ребута после установки, но многие пользователи не обращают на это внимания

Вобщем пользуйся теперь хорошим опенсорсовым виндовым сниферром

r00d1k · 16.03.2009

BFG-9000 сказав(ла):
Вообще-то многие приложения требуют ребута после установки, но многие пользователи не обращают на это внимания
Вобщем пользуйся теперь хорошим опенсорсовым виндовым сниферром

я какгбе привык к тому, что не многие... =)
тем более Wireshark.
тем более, что после 2й переустановки я не перегружался, но заработало.

зы: а поповоду хорошего скажу, что как НТТР снифер Http Analizer лучше Wireshark'а.
но пока не выйдет риальный срок

BFG-9000 · 16.03.2009

r00d1k сказав(ла):
тем более, что после 2й переустановки я не перегружался, но заработало.

Перезагрузки скорее всего требует не сам сниффер, а библиотека Winpcap, которую он юзает и которая ставится вместе с ним.

r00d1k · 16.03.2009

у меня стояла самая последня версия Winpcap. я же говорю, что пользуюсь снифаками не первый день. Winpcap ничего не ставил или же не спросил о разрешения, но насколько я знаю обычно если стоит свежее библиотека, оно и не париться установокй.

HELL · 24.03.2009

Ну чьо, разрулился с авторизацией? Стучись в асю - помогу 8)

r00d1k · 24.03.2009

дык давно уже =)

eyeland · 25.03.2009

Можно было и без снифера: просто сохранить страничку, изменить там action на свой, и уже в своем скрипте посмотреть что браузер ему передал. Помоему проще не придумаешь

r00d1k · 25.03.2009

eyeland сказав(ла):
Можно было и без снифера: просто сохранить страничку, изменить там action на свой, и уже в своем скрипте посмотреть что браузер ему передал. Помоему проще не придумаешь

а особенно когда надо куки посмотреть - просто супер.

eyeland · 26.03.2009

r00d1k сказав(ла):
а особенно когда надо куки посмотреть - просто супер.

а в чем трабла? у браузеров есть кнопка "посмотреть куки"

r00d1k · 26.03.2009

ага. а мой скрипт эти куки ему отправит и полностью работу целевого скрипта проэмулирует. мне нужно знать не что отправляется, а что отправляется и что на это присылается.

eyeland · 26.03.2009

хочешь сказать что при отправке правильного пароля тебе пришли куки которые до того не приходили? тоесть кроме идентификатора сесии там есть еще чтото связанное с авторизацией?

r00d1k · 26.03.2009

да. на 6 кук больше чем при рукопожатии.