Вход на закрытую страницу,где есть в параметрах csrf

Fortron

Новичок
Пользователь
Май 3, 2020
44
2
8
Если в параметрах есть csrf , то сначала надо в словаре присвоить это значение? Которое состоит из хаотичного набора символов.
Тоесть это временный кукес?
И надо сначала на странице найти _csrf, потом в словарь добавить по ключу '_csrf' - там будет много хаотичных символов ?

'_csrf показывает всегда разное значение. Видимо это такой временный токен.

Сейчас почему-то входа нет. Парсится страница,которая в открытом доступе,а надо страницу,которая открывается после входа на сайт.

Причем на другом сайте,где нет csrf, работает вход

Код:
import requests # модуль для парсинга
from bs4 import BeautifulSoup #модуль для парсинга

HEADERS = { тут параметры заголовка}

datas = {  # словарь
   
    'loginUrl    ' : '/sys/login',
    'errorPageUrl' : 'https://.....',
    'successPageUrl' :    'https://.....',
    'username' : 'def',
    'password' : 'def',
    '_csrf'     : 'def'
   
    }
login = input('Login: ')
passwd = input('Password: ')

datas['username']  = login
datas['password'] = passwd

s = requests.Session()
loging3 = s.get("https://.... ", headers=HEADERS, params=None)
loging = s.post("https://..... ",headers=HEADERS, data=datas )
loging2 = s.get("https://.... ", headers=HEADERS, params=None)
print(loging.status_code) # показывает код страницы при авторизации
f = open('result.txt','w', encoding='utf-8')
f.write(loging2.text)
f.close()
 

borntohack

змееуст
Команда форума
Модератор
Апр 22, 2020
78
62
18
39
Москва, РФ
Вы бы хоть погуглили для начала, что такое CSRF
Вполне возможно, сразу после гуглинга, вы поймете, что мы не будем в этом вам помогать.
 
  • Мне нравится
Реакции: root и stud_55

Fortron

Новичок
Пользователь
Май 3, 2020
44
2
8
А в чем собственно проблема? Вот прочитал:

CSRF (англ. Сross Site Request Forgery — «межсайтовая подделка запроса», также известна как XSRF) — вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP .

Судя по этому тексту я жертва,потому что я посетитель сайта.
 

root

Пользователь
Пользователь
Апр 29, 2020
60
14
8
Москва
Если что, то по инфобезу можешь на моем форуме спросить, там и тематика подходящая и больше тех, кто в курсе, что это =) Надеюсь администрация против не будет. https://overnull.ru

А так, если есть csrf токен в запросах, то с помощью стороннего софта ты запрос не подделаешь, как раз эта подделка и есть csrf-атака. (хотя на самом деле решение есть)

Сама по себе тема атак всяких тут-то запрещена, увы.
 
  • Мне нравится
Реакции: Fortron

Форум IT Специалистов