Программирование[11]

RedThunder458 написал 6 минут назад:

По поводу авторизации я наверное не так выразился, я к тому что может быть платное апи у сайта. Когда гуглил про это вроде видел мужики писали что иногда по подписке только апишку предоставляют, не хотелось бы за микропроектик кому-то шекели платить на регулярной основе. Но может это и не так, я пока не проверял. В селениуме не нужна авторизация, там всю инфу и без нее можно взять прямо на сайте.
 

Бурпсьют же покажет +- то что во вкладке network в девтулсе? Окей тоже гляну.

больше покажет, там и с расширений запросы видно

но просто запросы удобней смотреть в девтулсе, я бурп использую только когда надо ответ задержать (там в девтулс добавили это но я еще не пробовал) и в лайве посмотреть чо там крутится вертится 

RedThunder458 написал 16 минут назад:

По поводу авторизации я наверное не так выразился, я к тому что может быть платное апи у сайта. Когда гуглил про это вроде видел мужики писали что иногда по подписке только апишку предоставляют, не хотелось бы за микропроектик кому-то шекели платить на регулярной основе. Но может это и не так, я пока не проверял. В селениуме не нужна авторизация, там всю инфу и без нее можно взять прямо на сайте.
 

Бурпсьют же покажет +- то что во вкладке network в девтулсе? Окей тоже гляну.

у тебя нет разницы, сервер не может знать его вызывает браузер или кто угодно другой, хттп похуй

если браузер может делать это публично, сможешь и ты, если там нужна авторизация, её и браузер делает

Kant написал 28 минут назад:

RedThunder458 написал 46 минут назад:

По поводу авторизации я наверное не так выразился, я к тому что может быть платное апи у сайта. Когда гуглил про это вроде видел мужики писали что иногда по подписке только апишку предоставляют, не хотелось бы за микропроектик кому-то шекели платить на регулярной основе. Но может это и не так, я пока не проверял. В селениуме не нужна авторизация, там всю инфу и без нее можно взять прямо на сайте.
 

Бурпсьют же покажет +- то что во вкладке network в девтулсе? Окей тоже гляну.

у тебя нет разницы, сервер не может знать его вызывает браузер или кто угодно другой, хттп похуй

 

если браузер может делать это публично, сможешь и ты, если там нужна авторизация, её и браузер делает

по тлс/ссл конфигу сервер может догадаться что это не браузер (это один из методов как клаудфлеер режет ботов) 

Kant написал 32 минуты назад:

если браузер может делать это публично, сможешь и ты

Спасибо за мотивацию!

... написал 17 минут назад:

по тлс/ссл конфигу сервер может догадаться что это не браузер

Ну вход в апи это уже следующий шаг после того как я найду саму апишку

... написал 1 час назад:

Kant написал 1 час назад:

RedThunder458 написал 2 часа назад:

По поводу авторизации я наверное не так выразился, я к тому что может быть платное апи у сайта. Когда гуглил про это вроде видел мужики писали что иногда по подписке только апишку предоставляют, не хотелось бы за микропроектик кому-то шекели платить на регулярной основе. Но может это и не так, я пока не проверял. В селениуме не нужна авторизация, там всю инфу и без нее можно взять прямо на сайте.
 

Бурпсьют же покажет +- то что во вкладке network в девтулсе? Окей тоже гляну.

у тебя нет разницы, сервер не может знать его вызывает браузер или кто угодно другой, хттп похуй

 

если браузер может делать это публично, сможешь и ты, если там нужна авторизация, её и браузер делает

по тлс/ссл конфигу сервер может догадаться что это не браузер (это один из методов как клаудфлеер режет ботов) 

 

хз какие ссл конфиги видит сервер, но и это всегда может подделаться кем угодно

байты они и в африке байты

Kant написал 20 минут назад:

... написал 2 часа назад:

Kant написал 2 часа назад:

RedThunder458 написал 2 часа назад:

По поводу авторизации я наверное не так выразился, я к тому что может быть платное апи у сайта. Когда гуглил про это вроде видел мужики писали что иногда по подписке только апишку предоставляют, не хотелось бы за микропроектик кому-то шекели платить на регулярной основе. Но может это и не так, я пока не проверял. В селениуме не нужна авторизация, там всю инфу и без нее можно взять прямо на сайте.
 

Бурпсьют же покажет +- то что во вкладке network в девтулсе? Окей тоже гляну.

у тебя нет разницы, сервер не может знать его вызывает браузер или кто угодно другой, хттп похуй

 

если браузер может делать это публично, сможешь и ты, если там нужна авторизация, её и браузер делает

по тлс/ссл конфигу сервер может догадаться что это не браузер (это один из методов как клаудфлеер режет ботов) 

 

хз какие ссл конфиги видит сервер, но и это всегда может подделаться кем угодно

байты они и в африке байты

подделаться понятно что может, но изначальный тейк был что запросы везде одинаковые независимо от источника, а это не так 

как по тлс хэндшейку можно понять что это кто другой (браузер, бот и т.д)?
типо выбрал алгоритм отличный от тех, что по умолчанию настроены (предпочтительны)?

Или я не совсем понял что имеется ввиду

PIXMELLo написал Только что:

как по тлс хэндшейку можно понять что это кто другой (браузер, бот и т.д)?
типо выбрал алгоритм отличный от тех, что по умолчанию настроены (предпочтительны)?

Или я не совсем понял что имеется ввиду

набор шифров отличается у питона (или курла) и браузера

не имеешь набора шифров браузера = идешь нахуй 

https://fingerprint.com/blog/what-is-tls-fingerprinting-transport-layer-security/

... написал 1 минуту назад:

PIXMELLo написал 5 минут назад:

как по тлс хэндшейку можно понять что это кто другой (браузер, бот и т.д)?
типо выбрал алгоритм отличный от тех, что по умолчанию настроены (предпочтительны)?

Или я не совсем понял что имеется ввиду

набор шифров отличается у питона (или курла) и браузера

не имеешь набора шифров браузера = идешь нахуй 

https://fingerprint.com/blog/what-is-tls-fingerprinting-transport-layer-security/

Не вижу проблемы сделать бота у которого будут зеркальные алгоритмы (как у браузера)

PIXMELLo написал Только что:

... написал 9 минут назад:

PIXMELLo написал 13 минут назад:

как по тлс хэндшейку можно понять что это кто другой (браузер, бот и т.д)?
типо выбрал алгоритм отличный от тех, что по умолчанию настроены (предпочтительны)?

Или я не совсем понял что имеется ввиду

набор шифров отличается у питона (или курла) и браузера

не имеешь набора шифров браузера = идешь нахуй 

https://fingerprint.com/blog/what-is-tls-fingerprinting-transport-layer-security/

Не вижу проблемы сделать бота у которого будут зеркальные алгоритмы (как у браузера)

так а кто сказал что это проблема

я говорю только то что это есть 

... написал Только что:

PIXMELLo написал 2 минуты назад:

... написал 11 минут назад:

PIXMELLo написал 15 минут назад:

как по тлс хэндшейку можно понять что это кто другой (браузер, бот и т.д)?
типо выбрал алгоритм отличный от тех, что по умолчанию настроены (предпочтительны)?

Или я не совсем понял что имеется ввиду

набор шифров отличается у питона (или курла) и браузера

не имеешь набора шифров браузера = идешь нахуй 

https://fingerprint.com/blog/what-is-tls-fingerprinting-transport-layer-security/

Не вижу проблемы сделать бота у которого будут зеркальные алгоритмы (как у браузера)

так а кто сказал что это проблема

я говорю только то что это есть 

Ебучие IDS/IPS нам не страшны 

Брат @thousand cursed enemies что скажешь про это мем?

... написал 6 минут назад:

Kant написал 26 минут назад:

... написал 2 часа назад:

Kant написал 2 часа назад:

RedThunder458 написал 2 часа назад:

По поводу авторизации я наверное не так выразился, я к тому что может быть платное апи у сайта. Когда гуглил про это вроде видел мужики писали что иногда по подписке только апишку предоставляют, не хотелось бы за микропроектик кому-то шекели платить на регулярной основе. Но может это и не так, я пока не проверял. В селениуме не нужна авторизация, там всю инфу и без нее можно взять прямо на сайте.
 

Бурпсьют же покажет +- то что во вкладке network в девтулсе? Окей тоже гляну.

у тебя нет разницы, сервер не может знать его вызывает браузер или кто угодно другой, хттп похуй

 

если браузер может делать это публично, сможешь и ты, если там нужна авторизация, её и браузер делает

по тлс/ссл конфигу сервер может догадаться что это не браузер (это один из методов как клаудфлеер режет ботов) 

 

хз какие ссл конфиги видит сервер, но и это всегда может подделаться кем угодно

байты они и в африке байты

подделаться понятно что может, но изначальный тейк был что запросы везде одинаковые независимо от источника, а это не так 

 

да нихуя там не можется

тлс везде тлс

если при хэндшейке твоя консолька сказала, что она не может ни во что выше тлс 1.0 и аес256, а браузеры сейчас обычно минимум тлс1.2, то это мягко говоря интересный способ определить "бота" и фиксится клиентом, который сапортит тлс 1.2 с нужными алгоритмом

офк если ты юзаешь дерьмо на питоне из 2005, то так тебя заметят

но 99.99999999999999999999999999999999999999% серверов этого и так не смотрят

... написал 3 часа назад:

Kant написал 4 часа назад:

RedThunder458 написал 4 часа назад:

По поводу авторизации я наверное не так выразился, я к тому что может быть платное апи у сайта. Когда гуглил про это вроде видел мужики писали что иногда по подписке только апишку предоставляют, не хотелось бы за микропроектик кому-то шекели платить на регулярной основе. Но может это и не так, я пока не проверял. В селениуме не нужна авторизация, там всю инфу и без нее можно взять прямо на сайте.
 

Бурпсьют же покажет +- то что во вкладке network в девтулсе? Окей тоже гляну.

у тебя нет разницы, сервер не может знать его вызывает браузер или кто угодно другой, хттп похуй

 

если браузер может делать это публично, сможешь и ты, если там нужна авторизация, её и браузер делает

по тлс/ссл конфигу сервер может догадаться что это не браузер (это один из методов как клаудфлеер режет ботов) 

 

в целом да. но это защита от хороших людей

ты все передаваемые данные можешь переделать на "имитирующие футпринт браузера". это какая-то работа, конечно, но относительно несложная + можно шарить с другими наверняка.

единственное что в конце концов защищает это каптча и подобные механизмы

PS: ну ниже все уже разжевали, соглы кароче

Just.Doit написал 3 минуты назад:

... написал 3 часа назад:

Kant написал 4 часа назад:

RedThunder458 написал 4 часа назад:

По поводу авторизации я наверное не так выразился, я к тому что может быть платное апи у сайта. Когда гуглил про это вроде видел мужики писали что иногда по подписке только апишку предоставляют, не хотелось бы за микропроектик кому-то шекели платить на регулярной основе. Но может это и не так, я пока не проверял. В селениуме не нужна авторизация, там всю инфу и без нее можно взять прямо на сайте.
 

Бурпсьют же покажет +- то что во вкладке network в девтулсе? Окей тоже гляну.

у тебя нет разницы, сервер не может знать его вызывает браузер или кто угодно другой, хттп похуй

 

если браузер может делать это публично, сможешь и ты, если там нужна авторизация, её и браузер делает

по тлс/ссл конфигу сервер может догадаться что это не браузер (это один из методов как клаудфлеер режет ботов) 

 

в целом да. но это защита от хороших людей

ты все передаваемые данные можешь переделать на "имитирующие футпринт браузера". это какая-то работа, конечно, но относительно несложная + можно шарить с другими наверняка.

единственное что в конце концов защищает это каптча и подобные механизмы

ну так я и написал что ето один из методов, а не панацея от ботов

у того же клауда капча (решаемая + выполняемая в окружении) + тлс фингерпринт + скоринг айпи

мб еще что то есть но я так сразу не скажу

Just.Doit said 18 minutes ago:

... said 4 hours ago:

Kant said 4 hours ago:

RedThunder458 said 4 hours ago:

По поводу авторизации я наверное не так выразился, я к тому что может быть платное апи у сайта. Когда гуглил про это вроде видел мужики писали что иногда по подписке только апишку предоставляют, не хотелось бы за микропроектик кому-то шекели платить на регулярной основе. Но может это и не так, я пока не проверял. В селениуме не нужна авторизация, там всю инфу и без нее можно взять прямо на сайте.
 

Бурпсьют же покажет +- то что во вкладке network в девтулсе? Окей тоже гляну.

у тебя нет разницы, сервер не может знать его вызывает браузер или кто угодно другой, хттп похуй

 

если браузер может делать это публично, сможешь и ты, если там нужна авторизация, её и браузер делает

по тлс/ссл конфигу сервер может догадаться что это не браузер (это один из методов как клаудфлеер режет ботов) 

 

в целом да. но это защита от хороших людей

ты все передаваемые данные можешь переделать на "имитирующие футпринт браузера". это какая-то работа, конечно, но относительно несложная + можно шарить с другими наверняка.

единственное что в конце концов защищает это каптча и подобные механизмы

 

PS: ну ниже все уже разжевали, соглы кароче

 

Ты можешь на свой кравлер индус апи подклбчить они будут тебе капчу с лоу делеем вбивать. Так что тоже не проблема. 

PIXMELLo said 1 hour ago:

... said 1 hour ago:

PIXMELLo said 1 hour ago:

... said 1 hour ago:

PIXMELLo said 1 hour ago:

как по тлс хэндшейку можно понять что это кто другой (браузер, бот и т.д)?
типо выбрал алгоритм отличный от тех, что по умолчанию настроены (предпочтительны)?

Или я не совсем понял что имеется ввиду

набор шифров отличается у питона (или курла) и браузера

не имеешь набора шифров браузера = идешь нахуй 

https://fingerprint.com/blog/what-is-tls-fingerprinting-transport-layer-security/

Не вижу проблемы сделать бота у которого будут зеркальные алгоритмы (как у браузера)

так а кто сказал что это проблема

я говорю только то что это есть 

Ебучие IDS/IPS нам не страшны 

Брат @thousand cursed enemies что скажешь про это мем?

Какой мем? Не силен в терминологии безопасников. вроде то что выше обсуждается это не IDS это просто антибот хуйня максимум WAF.

IDS это microsoft XDR которая в домене sharphound палит или PT NAD. Который по http или https с локальным сертом кобу палит. Короче сетевые сигнатуры иногда в сумме с ивентами на хостах. 

thousand cursed enemies написал 15 минут назад:

 

PIXMELLo написал 1 час назад:

... написал 1 час назад:

PIXMELLo написал 1 час назад:

... написал 2 часа назад:

PIXMELLo написал 2 часа назад:

как по тлс хэндшейку можно понять что это кто другой (браузер, бот и т.д)?
типо выбрал алгоритм отличный от тех, что по умолчанию настроены (предпочтительны)?

Или я не совсем понял что имеется ввиду

набор шифров отличается у питона (или курла) и браузера

не имеешь набора шифров браузера = идешь нахуй 

https://fingerprint.com/blog/what-is-tls-fingerprinting-transport-layer-security/

Не вижу проблемы сделать бота у которого будут зеркальные алгоритмы (как у браузера)

так а кто сказал что это проблема

я говорю только то что это есть 

Ебучие IDS/IPS нам не страшны 

Брат @thousand cursed enemies что скажешь про это мем?

Какой мем? Не силен в терминологии безопасников. вроде то что выше обсуждается это не IDS это просто антибот хуйня максимум WAF.

IDS это microsoft XDR которая в домене sharphound палит или PT NAD. Который по http или https с локальным сертом кобу палит. Короче сетевые сигнатуры иногда в сумме с ивентами на хостах. 

 

вор в законе и не силен

ебаный стыд

PIXMELLo said 22 minutes ago:

thousand cursed enemies said 45 minutes ago:

 

PIXMELLo said 2 hours ago:

... said 2 hours ago:

PIXMELLo said 2 hours ago:

... said 2 hours ago:

PIXMELLo said 2 hours ago:

как по тлс хэндшейку можно понять что это кто другой (браузер, бот и т.д)?
типо выбрал алгоритм отличный от тех, что по умолчанию настроены (предпочтительны)?

Или я не совсем понял что имеется ввиду

набор шифров отличается у питона (или курла) и браузера

не имеешь набора шифров браузера = идешь нахуй 

https://fingerprint.com/blog/what-is-tls-fingerprinting-transport-layer-security/

Не вижу проблемы сделать бота у которого будут зеркальные алгоритмы (как у браузера)

так а кто сказал что это проблема

я говорю только то что это есть 

Ебучие IDS/IPS нам не страшны 

Брат @thousand cursed enemies что скажешь про это мем?

Какой мем? Не силен в терминологии безопасников. вроде то что выше обсуждается это не IDS это просто антибот хуйня максимум WAF.

IDS это microsoft XDR которая в домене sharphound палит или PT NAD. Который по http или https с локальным сертом кобу палит. Короче сетевые сигнатуры иногда в сумме с ивентами на хостах. 

 

вор в законе и не силен

ебаный стыд

Это и отличает вора в законе от лоха

нерда в конторке у которого развлечение это ctf. Вор в законе знает как выставить приоритеты. И не забывает свою первоначальную цель - деньги. Нерд будет запоминать теорию и бесполезные абревиатурки. Вор в законе просто знает что нужно делать и как делать на практике. А именно как закриптить имплант без детектов. Как заенумерейтить домен и не спалиться. Как взять DA самыми простыми способами. Рекон и фишинг 80% времени и усилий. Зафишил анальника дал дал ушел. Воровское мышление: знать минимум иметь максимум денег. Может мне еще OWASP сертифификат получить?))

thousand cursed enemies написал 26 минут назад:

PIXMELLo написал 1 час назад:

thousand cursed enemies написал 1 час назад:

 

PIXMELLo написал 3 часа назад:

... написал 3 часа назад:

PIXMELLo написал 3 часа назад:

... написал 3 часа назад:

PIXMELLo написал 3 часа назад:

как по тлс хэндшейку можно понять что это кто другой (браузер, бот и т.д)?
типо выбрал алгоритм отличный от тех, что по умолчанию настроены (предпочтительны)?

Или я не совсем понял что имеется ввиду

набор шифров отличается у питона (или курла) и браузера

не имеешь набора шифров браузера = идешь нахуй 

https://fingerprint.com/blog/what-is-tls-fingerprinting-transport-layer-security/

Не вижу проблемы сделать бота у которого будут зеркальные алгоритмы (как у браузера)

так а кто сказал что это проблема

я говорю только то что это есть 

Ебучие IDS/IPS нам не страшны 

Брат @thousand cursed enemies что скажешь про это мем?

Какой мем? Не силен в терминологии безопасников. вроде то что выше обсуждается это не IDS это просто антибот хуйня максимум WAF.

IDS это microsoft XDR которая в домене sharphound палит или PT NAD. Который по http или https с локальным сертом кобу палит. Короче сетевые сигнатуры иногда в сумме с ивентами на хостах. 

 

вор в законе и не силен

ебаный стыд

Это и отличает вора в законе от лоха

нерда в конторке у которого развлечение это ctf. Вор в законе знает как выставить приоритеты. И не забывает свою первоначальную цель - деньги. Нерд будет запоминать теорию и бесполезные абревиатурки. Вор в законе просто знает что нужно делать и как делать на практике. А именно как закриптить имплант без детектов. Как заенумерейтить домен и не спалиться. Как взять DA самыми простыми способами. Рекон и фишинг 80% времени и усилий. Зафишил анальника дал дал ушел. Воровское мышление: знать минимум иметь максимум денег. Может мне еще OWASP сертифификат получить?))

ну то есть купить приблуду и ей пользоваться как школьник, все понятно

авторитет ваш понижен до начального уровня

PIXMELLo said 52 minutes ago:

thousand cursed enemies said 1 hour ago:

PIXMELLo said 2 hours ago:

thousand cursed enemies said 2 hours ago:

 

PIXMELLo said 3 hours ago:

... said 4 hours ago:

PIXMELLo said 4 hours ago:

... said 4 hours ago:

PIXMELLo said 4 hours ago:

как по тлс хэндшейку можно понять что это кто другой (браузер, бот и т.д)?
типо выбрал алгоритм отличный от тех, что по умолчанию настроены (предпочтительны)?

Или я не совсем понял что имеется ввиду

набор шифров отличается у питона (или курла) и браузера

не имеешь набора шифров браузера = идешь нахуй 

https://fingerprint.com/blog/what-is-tls-fingerprinting-transport-layer-security/

Не вижу проблемы сделать бота у которого будут зеркальные алгоритмы (как у браузера)

так а кто сказал что это проблема

я говорю только то что это есть 

Ебучие IDS/IPS нам не страшны 

Брат @thousand cursed enemies что скажешь про это мем?

Какой мем? Не силен в терминологии безопасников. вроде то что выше обсуждается это не IDS это просто антибот хуйня максимум WAF.

IDS это microsoft XDR которая в домене sharphound палит или PT NAD. Который по http или https с локальным сертом кобу палит. Короче сетевые сигнатуры иногда в сумме с ивентами на хостах. 

 

вор в законе и не силен

ебаный стыд

Это и отличает вора в законе от лоха

нерда в конторке у которого развлечение это ctf. Вор в законе знает как выставить приоритеты. И не забывает свою первоначальную цель - деньги. Нерд будет запоминать теорию и бесполезные абревиатурки. Вор в законе просто знает что нужно делать и как делать на практике. А именно как закриптить имплант без детектов. Как заенумерейтить домен и не спалиться. Как взять DA самыми простыми способами. Рекон и фишинг 80% времени и усилий. Зафишил анальника дал дал ушел. Воровское мышление: знать минимум иметь максимум денег. Может мне еще OWASP сертифификат получить?))

ну то есть купить приблуду и ей пользоваться как школьник, все понятно

авторитет ваш понижен до начального уровня

Это называется делегировать. Пока что не научился сам все делаю для себя. Если что то не умею или не знаю в процессе изучаю.

Какую приблуду то лол где конкретика от тебя. Если чел может купить приблуду и окупить ее то он уже что то из себя представляет. Ты вкурсе сколько EDR FUD стоит? Вкрусе сколько LPE стоит? Вкурсе сколько nighthawk одну версию стоит достать?

Капитально похуй на твой респект. У тебя не воровское мышление. я уважаю челов у которых есть бабки а не которые много знают и умеют

PIXMELLo написал 1 час назад:

авторитет ваш понижен до начального уровня

1 -> 1  получается