React — русскоговорящее с...
Android Developers
Python
Vue.js — русскоговорящее ...
supapro.cxx
DotNetRuChat
GNU/Linux Help
Telegram Developers
Node.js — русскоговорящее...
DevOps — русскоговорящее ...
JavaScript Noobs — сообще...
![Django [ru]](https://image.telq.org/channel_avatar_1063854692_12437233608009742_mini.jpeg){kind=avatar}
Django [ru]
Go-go!
Angular - русскоговорящее...
ntwrk
Верстка сайтов HTML/CSS/J...
phpGeeks
Kubernetes — русскоговоря...
Битрикс для разработчиков
MODX. Русскоязычное сообщ...
pgsql – PostgreSQL
Laravel Pro
iOS Developers — русского...
ClickHouse не тормозит
Rust — русскоговорящее со...
JavaScript — русскоговоря...
С#
pro.cxx
pro.jvm
React Native — русскогово...
Devs Chat
Docker — русскоговорящее ...
HTML/CSS — русскоговоряще...
Python beginners
🐧 RU.UBUNTU — Официальное...
Kotlin Community
Joomla по-русски
Embedded Group
Чат экстремального погром...
aiogram
Scala User Group
Haskell
PHP
TypeScript
Клуб Vue.js-разработчиков
Xamarin Developers (MAUI,...
F# Chat
![Svelte [svelt] - All abou...](https://image.telq.org/channel_avatar_1142273288_5399907573915831550_mini.jpeg){kind=avatar}
Svelte [svelt] - All abou...
Системное администрирован...
Nuxt.js | Vue SSR
var chat = new Chat();
Data Science Chat
Android Architecture
Ассемблер
Laravel для начинающих
Церковь метрик
Dart & Flutter
QA — русскоговорящее сооб...
Tarantool
pro.elixir
Python Flask
SAP ABAP
R (язык программирования)
learn.java
Big Data Science :: AI / ...
DevsHelper
SwiftBook
Solidity Development
pro.net (former COM+)
Delphi & Lazarus
OpenStreetMap RU
Visual Studio Code — русс...
ru_mysql
pro.lua
GraphQL — русскоговорящее...
Evolution CMS развитие и ...
Dart / Flutter
pro.Asm
OpenCartForum - 🇺🇦🇪🇺Чат O...
IDE и редакторы — русског...
Angular.js (1.x) — русско...
Frontend_ru
Flutter Developers — русс...
AutoIT RU
AI / Искусственный Интелл...
Lame C
Laravel Framework Russian...
WebPwnChat
Чат — Верстка Сайтов и Фр...
pro.python
dlang.ru
Java Underground
Natural Language Processi...
javascript_ru
SqlCom.ru - сообщество MS...
Cinema 4D
pro.vim
PHP DevConf KZ🇰🇿
Delphi Community
Autohotkey_RU ( v1 & v2 )
Server Side Swift Develop...
pro.rb (Ruby/Rails / RU)
RubyRush.ru
Oracle RU
DevOps
Software Design/Architect...
sql_ninja
Modern::Perl
Odoo talks & fun
AndroidDev Pro:: Професси...
WordPress for developers
ru.nim.talks
PowerShellRus - о Powersh...
Эльбрусы и с чем их едят
Java/Kotlin and more
pro.buildsystems
Powershell Rus
Haskell Start
Python для анализа данных
Скрипты Гугл, Таблицы, Go...
WebGL ru
Compiler Development
firebase_ru — русскоговор...
phpclub.ru
ErlangRus
RU.CRYPTOGRAPHY — Криптог...
Electron.js
QA juniors
GameDev for Web
MySQL (EN)
Go Get A Job
Lame C++
pro.osdev - os developmen...
RU.Docker — Официальное Р...
PostgreSQL (English)
Emacs — русскоговорящее с...
Ember_js
FreePascal & Lazarus
Tilda Developers
Django
WordPress – русскоговорящ...
Язык программирования Jul...
ReasonML и OCaml
sentry_ru
ansible — русскоговорящее...
WebAssembly — русскоговор...
Сrystal Lang — русскогово...
aiohttp
Clojure — русскоговорящее...
heroku_ru
PowerShell Pro
systemd
macOS Developers — русско...
use Perl or die;
FORTH и родственные ЯП
ru_jenkins
Natural Language Processi...
CatBoost
CyberBiology
Sequelize - community (en...
sonarqube_ru
Elm Lang сообщество разра...
SublimeText_RU
NativeScript
WordPress CodeRun
ReactiveX - русскоговорящ...
PureScript — русскоговоря...
#Вайти
Эликсир и Вунш
Cassandra
@Helgispbru @Dreamer_0x01 @Pathologic93 @webber_12 Не уверен, что вам всем это жутко
интересно, но в продолжение недавнего диалога отправлю свои наброски. Хочу понять, правильно ли я мыслю по спаму.
Отправка форм на сайте-пациенте происходит так:
1. Самой формы в коде страницы нет
2. При загрузке страницы код формы грузится через JS Аяксом по УРИ /ajax/getform
3. По клику на сабмит данные этой формы отправляются Аяксом по УРИ /ajax/sendform
5. Форма содержит CSRF поле
Идёт СПАМ, причем, при смене Аякс УРЛа, СПАМ на длительное время прекращается (например при смене на /ajax/sendform123456).
Из чего я делаю вывод, что спам идет прямыми запросами на эти УРЛ, без эмуляции действий пользователя в браузере.
Как при этом обходят CSRF токен? Прямым запросом на /ajax/getform получают код формы и CSRF токен в ней, а также список полей. Присвоив полям нужные данные, в том числе и CSRF токен, отправляют данные по УРИ /ajax/sendform.
Такая ведь цепочка?
Значит, CSRF токен создается и при прямом запросе, без браузера и кук? Никогда этим не заморачивался, а тут задумался.
13 ответов
А заголовки проверяете, которые в запросах? Если вы говорите, что там прям прямые запросы, то, наверное, это видно как-то должно быть?
Смари, я как делаю 1) Смотрю реферрер, если нет или иной сайт - нахер 2) Доливаю JSом при отправке еще пару своих заголовков. В идеале, если бы они были рандомные 3) ну там xmlhttprequest само собой но его опять же подделывают 4) и токен, конечно. Но в форме у меня его нету. Он грузится JSом в window.token а потом подсовывается в запрос при отправке форм
![Андрей [aharito]-Харитонов](https://image.telq.org/user_avatar_344172016_1478207553374627754_mini.jpeg){kind=avatar}
Андрей [aharito]
Харитонов
Автор вопроса
А заголовки проверяете, которые в запросах? Если в...
Вот это дельный коммент. В Ларе оказывается есть ещё доп. токен, который в заголовок можно пихнуть, надо его заюзать. Но я вообще хитрее решил. Я в УРЛ приконкатенатил CSRF токен в качестве суффикса, и теперь у меня форма забирается по УРЛу типа /ajax/getformquUqtVAmLggTGsBthzAxhEL7lbKjUoPCLFgb6ZrG и данные отправляются по такому же. ни один враг не догадается! Теперь им только с эмуляцией браузера меня атаковать остаётся ))
Вот это дельный коммент. В Ларе оказывается есть е...
И такое тоже было. Дисаблил enter и сдвигал кнопку отправки
Вот это дельный коммент. В Ларе оказывается есть е...
забавно будет, если враг сидит тут 😁
Андрей [aharito]
Харитонов
Автор вопроса
Смари, я как делаю 1) Смотрю реферрер, если нет ил...
токена наверно было б достаточно не?
Андрей [aharito]
Харитонов
Автор вопроса
забавно будет, если враг сидит тут 😁
Тогда новую Яндекс-капчу заюзаю, импортозамещение рекапчи.
Андрей [aharito]
Харитонов
Автор вопроса
Смари, я как делаю 1) Смотрю реферрер, если нет ил...
Ого! Ни фига себе система. Если что, заюзаю, если достанут. Пока отстали.
Тогда новую Яндекс-капчу заюзаю, импортозамещение ...
яндекс капча платная. Бесплатная ограниченное время.
Андрей [aharito]
Харитонов
Автор вопроса
яндекс капча платная. Бесплатная ограниченное врем...
Да? нехорошо. Ну значит будем своими силами бороться.
Андрей [aharito]
Харитонов
Автор вопроса
токена наверно было б достаточно не?
Неа. У меня вот вместо с кодом формы его скачивают. Но если вот так вот хитро, много ступенчато, как Sasha Beep - то на какое-то время поможет.
токена наверно было б достаточно не?
Может быть. Но явно не в коде страницы. А проверка на xmlhttprequest это из раннего
Похожие вопросы
Обсуждают сегодня