AM
Парни, хелпаните, не понимаю, почему тег не передается
https://dpaste.de/1MJu#L3,4
https://dpaste.de/1MJu#L3,4
Парни, хелпаните, не понимаю, почему тег не передается
https://dpaste.de/1MJu#L3,4
Size: a a a
2019 September 05
DT
<input class="form-control mr-sm-2" type="text" placeholder="Tag" aria-label="Search">
потому что тут нет name='tag'
потому что тут нет name='tag'
AO
гы, похоже, Alex @weonn сбежал из этого чата, не выдержал
AM
<input class="form-control mr-sm-2" type="text" placeholder="Tag" aria-label="Search">
потому что тут нет name='tag'
потому что тут нет name='tag'
все равно не помогло
AK
Ага, значит, я таки правильно понимаю, что из себя представляет сама атака. Но тогда остается открытым изначальный вопрос. Что мне мешает аяксом заломиться от лица пользователя на страницу aaa.ru/post_stuff, получить ее голый хтмл, выдрать оттуда csrf токен и заслать обратно?
PZ
Если это действительно так, то неясно, какой в этой атаке вообще смысл, что она атакует-то тогда?
я могу на своём сайте сделать
Когда форма засабмитится, то на твой сайт уйдёт эта форма, то джанга проверить токен из поля формы и из кук или сессии.
С моего сайта доступа к кукам твоего сайта в браузере нет, поэтмоу я не смогу подделать токен.
<form action="http://твой_сайт/admin/"> и юзер будет делать какие-то действия, которые уйдут в твою админку. Когда форма засабмитится, то на твой сайт уйдёт эта форма, то джанга проверить токен из поля формы и из кук или сессии.
С моего сайта доступа к кукам твоего сайта в браузере нет, поэтмоу я не смогу подделать токен.
DT
Ага, значит, я таки правильно понимаю, что из себя представляет сама атака. Но тогда остается открытым изначальный вопрос. Что мне мешает аяксом заломиться от лица пользователя на страницу aaa.ru/post_stuff, получить ее голый хтмл, выдрать оттуда csrf токен и заслать обратно?
ничего по большому счету
DT
главное чтобы токен не протух
AK
ничего по большому счету
Странно. Такая необъятная дырень - и не закрыта?
🔐
Драсти, до недавнего времени вот этот запрос полностью работал, дальше стал дропаться на distinct, непонятно почему, сортировка стоит, не помогает даже смена местами сортировки и дистинкта
DT
все равно не помогло
покажи что получилось ?
AM
покажи что получилось ?
я просто вписал в
<input class="form-control mr-sm-2" type="text" placeholder="Tag" name="tag" aria-label="Search">
name="tag"
<input class="form-control mr-sm-2" type="text" placeholder="Tag" name="tag" aria-label="Search">
name="tag"
AK
Я не то чтобы пытаюсь в хакерство, это скорее теоретический интерес :)
AO
Ага, значит, я таки правильно понимаю, что из себя представляет сама атака. Но тогда остается открытым изначальный вопрос. Что мне мешает аяксом заломиться от лица пользователя на страницу aaa.ru/post_stuff, получить ее голый хтмл, выдрать оттуда csrf токен и заслать обратно?
а у тебя на сайте есть такой код?
DT
я просто вписал в
<input class="form-control mr-sm-2" type="text" placeholder="Tag" name="tag" aria-label="Search">
name="tag"
<input class="form-control mr-sm-2" type="text" placeholder="Tag" name="tag" aria-label="Search">
name="tag"
может другая въюха работает?
AM
может другая въюха работает?
да не, эта
🔐
никто не подскажет? мне че его вырезать чтоли(
DT
да не, эта
тогда по теории должно работать
AM
тогда по теории должно работать
не видим тэг tag = request.POST['tag']