@arybak2017

Можно ли получить данные с сервера, имитировав post запрос?

Здравствуйте, требуется выполнить такую задачу: дается определенное количество условных единиц при регистрации на сайте, определенный предмет стоит больше чем дается изначально. Вопрос: можно ли обмануть сервер, якобы купив этот предмет, сымитировав пост запрос, средствами php. Соединение: http
  • Вопрос задан
  • 67 просмотров
Пригласить эксперта
Ответы на вопрос 2
dollar
@dollar
Зависит от продуманности защиты сервера.
Если защиту проектировали любители, то там будет много дыр, не обязательно именно эта. Надо щупать, чтобы понять, какие дыры есть. Но вам это может аукнуться постфактум.
Ответ написан
gzhegow
@gzhegow
Думал, стану умнее, когда адаптируюсь, но нет
Просто помни об уголовной ответственности

С нижеизложенным я сражался - имел прецеденты и писал защиты.

1. Покупаешь прокси или пишешь парсер проксей (понадобится безголовый браузер)
2. Пишешь обертку чтобы CURL автоматически проверял и менял прокси более менее разумно или всегда
3. Открываешь сайт и панель Ф12 - там вкладка Network. Пробуешь купить (даже если денег нет, но кнопка купить есть). Смотришь что на сервер отправляется. Может банально кто-то цену зашил в запрос, хотя это совсем глупая ошибка. Бывает прикол что зачисляешь деньги на сайт, делаешь заказ, потом заказ отменяешь, а отмена написана криво и требует 2 секунды времени. За эти две секунды скриптом можно 1000 раз отменить заказ и получить 1000 возвратов
4. Смотришь в режиме где потыкать, что поменять. В идеале найти чувака который уже покупал и на боевом посмотреть как процесс происходит
5. Дальше уже начинаешь играть в иньекции и взлом, в поля форм пхаешь sql - закрывающие кавычки, точки с запятыми. Пытаешься вызвать Critical mysql error. Если получилось - наощуп танцуешь от этого. Если нет - пытаешься яваскрипт код сунуть в формы, но там где есть форма комментариев например, код должен отсылать тебе куки других посетителей, чтобы ты успел под их именем зайти пока сессия не устарела и за их счёт купить

Но уже много лет как от всего этого написаны защиты. И программистов держат на работе чтобы таких приколов не было.

Процесс на самом деле не из весёлых и не легкий ни разу, бывает проще найти владельца и убедить его тебе дать, чем без его ведома ломануть его сайт. Но иногда везёт
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы