Поиск endpoint'ов к веб API

vpotd · 26.03.2024

Всем привет,
помогите найти хотя бы один endpoint к веб API, написанном на aiohttp, чтобы понять его структуру:

Буду очень благодарен!

MOYAGOLUBUSHKA · 26.03.2024

я так положу ещё это здесь

кроме того что на api в /login он агрится на аутентификацию
и python+asynciohttp пахнет мне django

vpotd · 26.03.2024

MOYAGOLUBUSHKA сказал(а):

я так положу ещё это здесь

Скрытое содержимое
кроме того что на api в /login он агрится на аутентификацию
и python+asynciohttp пахнет мне django

нет, это не Django, это чистый aiohttp/3.8.1, как вариант поискать CVE под эту версию и поискать PoC, чтобы потестить

У меня таже есть их jwks, для проверки подписи.

И есть client_id и client_secret, с помощью которых полагаю можно создать token, через API, который я указал. Одна загвоздка - не знаю какой эндпоинт для выпуска токена (впринципе ни один эндпоинт не знаю).

Сейчас разбираюсь что за проект AuthGG и как он используется в этой игре.

HateMe02 · 26.03.2024

vpotd сказал(а):

Всем привет,
помогите найти хотя бы один endpoint к веб API, написанном на aiohttp, чтобы понять его структуру:
Скрытое содержимое

Буду очень благодарен!

Это же игра? Попробуй трафик снифнуть и узнаешь нужные тебе запросы, как опция более легкая нежели чем сканить или искать какое-нибудь PoC

vpotd · 26.03.2024

HateMe02 сказал(а):

Это же игра? Попробуй трафик снифнуть и узнаешь нужные тебе запросы, как опция более легкая нежели чем сканить или искать какое-нибудь PoC

Отличная идея, да это игра, сейчас скачаю себе Wireshark, попробую что ни будь посмотреть.

akriosss47 · 27.03.2024

По aiohtt недавно cve была https://nvd.nist.gov/vuln/detail/CVE-2024-23334

Поиск endpoint'ов к веб API

vpotd

RAID-массив

MOYAGOLUBUSHKA

RAID-массив

vpotd

RAID-массив

HateMe02

RAID-массив

vpotd

RAID-массив

akriosss47

(L3) cache