Если бэкенд системы писал не алешенька с хлебушком, то любой нормальный сервис палит как минимум юзер агент. Просто вставив куки получишь дулю. Подставив еще юзерагент, шанс на результат сильно повышается.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Софт для работы с cookies
- Автор темы kvartirus
- Дата начала
Прочитай, что я писал, я писал про дпапи а не aes-gcm
На самом деле на юзер-агент опираются не все, это вообще такой себе параметр. Как минимум потому что смена браузера, или обновление браузера - обычный случай.
Куки для многих решающий момент, другой вопрос - если сайт к примеру с корзиной и попробовать сделать чекаут, там уже подключится антифрод который все это проверит, в т.ч может и поведение на сайте проверить и сравнить с прошлым.
Лучше использовать спец софту по типу сферы, чтобы вставлять не только куки, но и настраивать все остальные нужные параметры, чтобы максимально приблизиться к машине жертвы по железу и прочим параметрам.
Смена юзером браузера ок, но даже в новой ему придется авторизоваться. Как бы это очень странный юзер кейс, когда поддержка рассказывает пользователю как перенести куки из одного браузера в другой чтобы пользоваться сервисом.
Короче, вот у тебя кукисы есть с логов. Если у тебя хром овер 80 версии, то берешь ключ из Local Storage и куки (именно дешифрованное) поле обратно с aes gcm декриптишь и ложишь в Cookies файл хрома. А если хром ниже 80 версии, то вызываешь CryptProtectData (аналог CryptUnprotectData) криптуешь поле в кукисе, и так же ложишь в файл Cookies.
да, все верно. Антифрод смотрит на js плагины-хуягины, расширения. Но некоторым сервисам юзер агент + кукисы отлично подходят. Например знакомый таким образом мексиканские банкини налил на овер 3к$.
не исключаю такое, но как практика показывает более серьезный антифрод стоит уже на чекауте.
я если честно не в контексте разговора был. если так - то да, очень странно
Это я знаю.... у меня другой вопрос, полистай 2 тему, я скинул структуру столбцов в cookies хрома. Там всего 15 столбов, 7 значений из куков нетспэйс можно будет вставить в 7 столбцов, а столбцов всего то там 15, что делать с теме остальными 8 столбцами? Не знаешь если вставить рандом туда, будет ли происходить автозаход на сайты?
ну проверь.
Блин, ты ни как не пытаешься самостоятельно что-либо проверить.
Время-деньги, зачем проверять самому, вдруг кто-то знает ответ... а тем более вдруг не сработает
а расширение как называется в waterFox ?
да зачем ты тратишь время на это? Сделай как я говорил, качать mozilla firefox 56 версии и импортниу туда расширения которое я тоже скинул и отключи обновки в браузере. Или качай сразу браузер с расширением который я тоже скидывал. Это рабочий и проверенный вариант
Го я переформулирую:
"Время-деньги, зачем проверять самому, когда может проверить кто-то за тебя"
я вообще по другому юзаю куки, просто увидел новый вариант и стало интересно что за расширение для waterfox. Для общего развития.
Если честно я не понял про что они там говорили в waterfox, какой то плагин, в гугле тоже не нашел
Короче решил чекнуть будет ли работать вставка куков в гугл хром, яндекс браузер. Например в столбце creation_utc(самый первый) хранится дата в микросекундах создания кука, так вот туда не нужно вставлять 0, просто вставляйте какое нибудь время
Во, проверил, а ведь не сложно же?) Да.
Смотри, попробуй стилером распарсить все столбцы кукисов и вставить уже в браузер на ВМ. А после посмотри результат