L
Нет
Size: a a a
2019 February 18
M
Не пытаешься ли ты стащить чьи-то авторизационные данные?
L
Есть авторизация на сайте.
Цепочка следующая:
1) get-запрос(установили js-ом уникальный айди, передали его в след запрос номер 2)
2) post-запрос(получили значение для след запроса и передали)
3) post-запрос, и тут начинается магия(1 токен мы получили из локал сторедж а еще 4 каким-то волшебным образом появились, их нету не в DOM сайта, ни в запросах предыдущих)
И мне почему-то в голову стрельнуло что он генерится в js
Цепочка следующая:
1) get-запрос(установили js-ом уникальный айди, передали его в след запрос номер 2)
2) post-запрос(получили значение для след запроса и передали)
3) post-запрос, и тут начинается магия(1 токен мы получили из локал сторедж а еще 4 каким-то волшебным образом появились, их нету не в DOM сайта, ни в запросах предыдущих)
И мне почему-то в голову стрельнуло что он генерится в js
L
Не пытаешься ли ты стащить чьи-то авторизационные данные?
нет, моя цель не такая
L
+это пришлось бы ставить какой-то софт на сторону клиента или идти в БД, я такое не умею
ДИ
Есть авторизация на сайте.
Цепочка следующая:
1) get-запрос(установили js-ом уникальный айди, передали его в след запрос номер 2)
2) post-запрос(получили значение для след запроса и передали)
3) post-запрос, и тут начинается магия(1 токен мы получили из локал сторедж а еще 4 каким-то волшебным образом появились, их нету не в DOM сайта, ни в запросах предыдущих)
И мне почему-то в голову стрельнуло что он генерится в js
Цепочка следующая:
1) get-запрос(установили js-ом уникальный айди, передали его в след запрос номер 2)
2) post-запрос(получили значение для след запроса и передали)
3) post-запрос, и тут начинается магия(1 токен мы получили из локал сторедж а еще 4 каким-то волшебным образом появились, их нету не в DOM сайта, ни в запросах предыдущих)
И мне почему-то в голову стрельнуло что он генерится в js
Логично, что токен генерится на бэке и прикрепляется к url ?
L
Логично, что токен генерится на бэке и прикрепляется к url ?
Возможно
L
Есть методы как узнать способы генерации на бэке?
ДИ
конечно есть метод где какая-то аутентификация должна быть.
L
конечно есть метод где какая-то аутентификация должна быть.
понял, буду копать
ДИ
ну такое
R(
Есть авторизация на сайте.
Цепочка следующая:
1) get-запрос(установили js-ом уникальный айди, передали его в след запрос номер 2)
2) post-запрос(получили значение для след запроса и передали)
3) post-запрос, и тут начинается магия(1 токен мы получили из локал сторедж а еще 4 каким-то волшебным образом появились, их нету не в DOM сайта, ни в запросах предыдущих)
И мне почему-то в голову стрельнуло что он генерится в js
Цепочка следующая:
1) get-запрос(установили js-ом уникальный айди, передали его в след запрос номер 2)
2) post-запрос(получили значение для след запроса и передали)
3) post-запрос, и тут начинается магия(1 токен мы получили из локал сторедж а еще 4 каким-то волшебным образом появились, их нету не в DOM сайта, ни в запросах предыдущих)
И мне почему-то в голову стрельнуло что он генерится в js
Данные могут быть не в DOM'е , а в JS-переменных. Это не магия, это современные, ять, технологии.
У меня был случай когда мне надо было обмануть интерфейс чтобы задать неправильное значение, от которого должен был появиться месседж валидации. В DOM'е значений нет. По HTML коду сайта я понял что движок Angular (куча атрибутов ng-* ) . Я погуглил на StackOverflow и нашел рецепт как в консоли джаваскрипт командами проявлять и изменять значения лежащие в текущих переменных ангуляра. Если получится сделать аналогичное, можно посмотреть нет ли там "токенов". Думаю можно что-то такое и сейчас нагуглить (я это летом 2017-го делал, не помню уже).
Второй путь интересного эксперимента это закрыть текущее окно сайт и посмотреть что происходит если его переотрыть — сохраняется авторизация или нет? Может он ее в куки пишет, или еще куда.
У меня был случай когда мне надо было обмануть интерфейс чтобы задать неправильное значение, от которого должен был появиться месседж валидации. В DOM'е значений нет. По HTML коду сайта я понял что движок Angular (куча атрибутов ng-* ) . Я погуглил на StackOverflow и нашел рецепт как в консоли джаваскрипт командами проявлять и изменять значения лежащие в текущих переменных ангуляра. Если получится сделать аналогичное, можно посмотреть нет ли там "токенов". Думаю можно что-то такое и сейчас нагуглить (я это летом 2017-го делал, не помню уже).
Второй путь интересного эксперимента это закрыть текущее окно сайт и посмотреть что происходит если его переотрыть — сохраняется авторизация или нет? Может он ее в куки пишет, или еще куда.
DS
Данные могут быть не в DOM'е , а в JS-переменных. Это не магия, это современные, ять, технологии.
У меня был случай когда мне надо было обмануть интерфейс чтобы задать неправильное значение, от которого должен был появиться месседж валидации. В DOM'е значений нет. По HTML коду сайта я понял что движок Angular (куча атрибутов ng-* ) . Я погуглил на StackOverflow и нашел рецепт как в консоли джаваскрипт командами проявлять и изменять значения лежащие в текущих переменных ангуляра. Если получится сделать аналогичное, можно посмотреть нет ли там "токенов". Думаю можно что-то такое и сейчас нагуглить (я это летом 2017-го делал, не помню уже).
Второй путь интересного эксперимента это закрыть текущее окно сайт и посмотреть что происходит если его переотрыть — сохраняется авторизация или нет? Может он ее в куки пишет, или еще куда.
У меня был случай когда мне надо было обмануть интерфейс чтобы задать неправильное значение, от которого должен был появиться месседж валидации. В DOM'е значений нет. По HTML коду сайта я понял что движок Angular (куча атрибутов ng-* ) . Я погуглил на StackOverflow и нашел рецепт как в консоли джаваскрипт командами проявлять и изменять значения лежащие в текущих переменных ангуляра. Если получится сделать аналогичное, можно посмотреть нет ли там "токенов". Думаю можно что-то такое и сейчас нагуглить (я это летом 2017-го делал, не помню уже).
Второй путь интересного эксперимента это закрыть текущее окно сайт и посмотреть что происходит если его переотрыть — сохраняется авторизация или нет? Может он ее в куки пишет, или еще куда.
Подпихивать авторизационные данные в js переменные - это не современные технологии, это порнография, а уж тем более в современных фреймворках типа ангуляра)
AA
ребят, как вы трекаете время? проверили таск - залогировали? или как?
В
не трекаем 🙂
СГ
Никак. Свобода действий, все дела.
AA
окей) а если ПМ пишет отчет по проекту, она просто в общем указывает - куа - 300ч(или другое время)?
M
у нас каждый день списывается время в ручную в внутреннем сервисе
В
окей) а если ПМ пишет отчет по проекту, она просто в общем указывает - куа - 300ч(или другое время)?
у нас нет ПМа)
AA
почему я задаю этот вопрос, дело в том что наша ПМ поставила нас тестеров перед фактом, чтоб мы каждый таск что проверили трекали сколько время ушло, ноо у нас то есть таски которые занимают и 5 мин чекнуть и 15 и 1-2-3ч, и каждый раз трекать по пару минут не очень эфеективно, тем более в течени дня мы регрешн делаем, перепроверяем что то, exploratory testing, был у кого то опыт с таком логировании или ток у нас сходят с ума?