Studio GO (System Advert) » Страница 2 » Форум » Буксы, программирование, криптовалюта

#11 · 28.08.2016, 14:46

Вот еще одно видео записал по теме Token.
Как создать token и внедрить - рассказывать это не буду.

Для чего нужен token?
Конечно же для безопасности.

Приведу обычный пример:
Бот заходит на Ваш сайт, заполняет форму регистрации и регистрируется.
Так же и комментарии может отправлять.
В общем любую форму без защиты боты могут заполнять и отправлять.

Боты многое не умеют делать, например использовать session, cookie, javascripts и многое другое.

Token не позволяет ботам отправлять формы, так же он действует по своему роду как защита, если использовать кое-как правильно и кое-где в нужном месте.

Token

#12 · 28.08.2016, 15:24

ByFly,
А ты хрумер смотрел?

#13 · 28.08.2016, 15:32

steam, обходит ли xrumer эту защиту или нет?

#14 · 28.08.2016, 15:33

ByFly,
Он по моему всё обходит, если даже капчу ломает

#15 · 28.08.2016, 15:34

Цитата: ByFly от 28.08.2016, 15:34
steam, по-моему эту защиту не обойдет, но не буду утверждать, сейчас скачаю и протестирую.
каптча это распознание алгоритма, а token другое дело, тут если ты бот, ты не можешь получить token.

steam, загрузил меня немного ты этой темой)))
пробовал установить прогу, но взломанной рабочей версии не нашел, одни битые.
Поискал в интернете про эту прогу, как пытались защититься и как она работает.
Да, прога мощная, обходит любую защиту, не знаю по какому принципу, ее надо ковырять.
Но, скажу одно: при использовании проги, надо создавать шаблон, то есть если поля input называется login, password, email, то понятное дело, что это стандартные названия, которые прога автоматом заполнит.
Если же названия отличаются, то придется создавать отдельный шаблон, что очень геморно, представьте, для каждого сайта отдельный шаблон, может и кому-то не лень будет.
Далее, прога умеет получить token, что очень плохо, то есть систему защиты token она тоже обходит, но опять же, для этого надо создать отдельный шаблон, где будет название поля token и откуда он берется.

Далее, допустим прога идеальная и обходит любую защиту, что же делать?
- создайте генерацию с помощью php rand(1,10)
- к каждому числу присвойте форму или название inputa
допустим xrumer заходит на страницу регистрации, выпадает rand=2, которая записывается в куки или в сессию.
выводится форма с именами типа login2, password2, email2
далее чтобы обработать POST запрос, тянем rand(1,10) в нашем случаи это 2, тянем из сессии или куков

Вот и все!
В такой ситуации пользователю xrumer придется создать 10 шаблонов для Вашего сайта, я не думаю, что этим кто-то будет заниматься.

Такой метод защиты можно использовать при регистрации или добавления сообщения, то есть только в нужных местах.

Так же, как я говорил, что прогу я не смог протестировать, а только лишь почитал посты форумов на тему xrumer.
Поэтому и не знаю, может ли данная прога обойти все методы защиты и даже token.

P.S. данная прога в основном использует стандартные сайты на шаблонах популярных cms, так как input name на таких сайтах идентичны

Можно вообще по извращаться, сделать поля с секретом, где будет автоматически генерироваться имя секрета, записываться в куки и сравниваться с сессией, то есть при таком условии xrumer никогда в жизни не распознает ваше имя секрета и сам секрет

steam, по-моему эту защиту не обойдет, но не буду утверждать, сейчас скачаю и протестирую.
каптча это распознание алгоритма, а token другое дело, тут если ты бот, ты не можешь получить token.

steam, загрузил меня немного ты этой темой)))
пробовал установить прогу, но взломанной рабочей версии не нашел, одни битые.
Поискал в интернете про эту прогу, как пытались защититься и как она работает.
Да, прога мощная, обходит любую защиту, не знаю по какому принципу, ее надо ковырять.
Но, скажу одно: при использовании проги, надо создавать шаблон, то есть если поля input называется login, password, email, то понятное дело, что это стандартные названия, которые прога автоматом заполнит.
Если же названия отличаются, то придется создавать отдельный шаблон, что очень геморно, представьте, для каждого сайта отдельный шаблон, может и кому-то не лень будет.
Далее, прога умеет получить token, что очень плохо, то есть систему защиты token она тоже обходит, но опять же, для этого надо создать отдельный шаблон, где будет название поля token и откуда он берется.

Далее, допустим прога идеальная и обходит любую защиту, что же делать?
- создайте генерацию с помощью php rand(1,10)
- к каждому числу присвойте форму или название inputa
допустим xrumer заходит на страницу регистрации, выпадает rand=2, которая записывается в куки или в сессию.
выводится форма с именами типа login2, password2, email2
далее чтобы обработать POST запрос, тянем rand(1,10) в нашем случаи это 2, тянем из сессии или куков

Вот и все!
В такой ситуации пользователю xrumer придется создать 10 шаблонов для Вашего сайта, я не думаю, что этим кто-то будет заниматься.

Такой метод защиты можно использовать при регистрации или добавления сообщения, то есть только в нужных местах.

Так же, как я говорил, что прогу я не смог протестировать, а только лишь почитал посты форумов на тему xrumer.
Поэтому и не знаю, может ли данная прога обойти все методы защиты и даже token.

P.S. данная прога в основном использует стандартные сайты на шаблонах популярных cms, так как input name на таких сайтах идентичны

Можно вообще по извращаться, сделать поля с секретом, где будет автоматически генерироваться имя секрета, записываться в куки и сравниваться с сессией, то есть при таком условии xrumer никогда в жизни не распознает ваше имя секрета и сам секрет :smile:

#16 · 28.08.2016, 18:11

steam,
рекапчу никто не пройдет ))) ее код никто не знает он на стороне гугл работает -)

#17 · 28.08.2016, 18:19

Pretorian, мне тоже кажется, что рекапчу не взломает, хотя пользователи на форумах пишут, что ни одна капча не спасает, ломает абсолютно всё...

#18 · 28.08.2016, 18:36

Все это херня токены! Обходятся очень легко!

Показать / Скрыть текст

Насколько помню это помогает от CSRF атак! Хотя так же смысла мало от этого!

Но ведь как ты не изменяй название но есть куча способов взять всю форму из хтмл кода и уже вытянуть все инпуты через регулярки и отправить все это дело на обработчик!
Да и реализовано это ну очень уже давно)))))) И как мне кажется этим пользуются многие разработчики!

#19 · 28.08.2016, 18:49

ra4ok14, ошибаешься, смотри, вытягиваются инпуты, если инпуты постоянно разные, то постоянно надо менять название инпута для заполнения.
Как работает xrumer, почитай, он заполняет поля по шаблону,
допусти указываешь инпут нэйм - name и вводишь туда имя,
а если же сделать кучу генераций, банально name1, name10, name20
и неизвестно когда какая выпадит,
ты же не будешь создавать к одному сайту шаблоны типа
name1=name
name2=name
name3=name
и так далее

Теперь смотри, что я предлагаю:
$secret_name = random(a-Z, lim 10);
$secret_key = random(all, sha256);
session[$secret_name] = $secret_key
setcookie key $secret_name

далее в инпут name=secret value=$secret_key
далее POST -> вытягиваем куку key
присваиваем куке key -> $secret_key
и сравниваем $secret_key и session[$secret_name]

может где-то ошибся, может предово написал функцию,
но, эту функцию надо подключать только 1 раз на страницу,
так же на странице должен быть файл обрабочик + он должен быть ниже функции генерации
крч загрузился я)))

#20 · 28.08.2016, 19:43

Цитата: Pretorian

рекапчу никто не пройдет ))) ее код никто не знает он на стороне гугл работает -)

что он говорит :facepalm: