Есть некие логи, и на протяжении всего лога "session_id" и "_csrf_token" остаются неизменными(у одного и того же пользователя) а в строке "warden_user_admin_user_key" представлен номер админа, и часть его захешированого пароля. Что можно сделать с данными? Подскажите, как подделать запрос? Либо залогинится с _csrf_token? так же к каждой записи прилагается GET реквест, с описанием ip, и адреса к которому он был осуществлен. Соли нет, по которой генерируется токен - нет, так же нет и секретного ключа, в сессии. Но сам токен остается неизменным. Знающие аноны, как подделать запрос с имеющимися данными (и можно ли?), что использовать?http://pastebin.com/Qh4mjHQC
бамп
Слушай, а зачем вообще в сессию пользователя кто-то пишет id админа и часть захешированного пароля? Ты точно уверен, что правильно определил, что такое warden_user_admin_user_key? И как ты, глядя на хеш, определяешь, что нет соли?
>>134159197http://stackoverflow.com/questions/23597718/what-is-the-warden-data-in-a-rails-devise-session-composed-of/23683925
Чего-то не вижу часть захешированного пароля админа.>\"$2a$10$E40VhRY./Btr37/Ie5btf.\"]"Это не хеш же.
>>134160023bcrypt hash, первые 30 символов.
>>134160232Ого, а может и запрос кинешь?
>>134160447Какой запрос? Я не знаю как составить, спомощью какой проги, как подделать, имея на руках данные сесии (которые похоже неизменны, типо статичиские чтоль для конкретного пользователя).
>>134160554Я запросы руками пишу...Сессия может сменить айди спустя какое-то время
>>134160731Там промежуток в два месяца с одинаковым ид. А можешь пожалуйста состаить пример по тому что я скинул?Можно ли с помощью сесии залогиниться? Просто, похоже там запросы, только на показать, отправить, удалить, а логина - нет вроде. Помоги пожалуйста разобраться.
>>134160731Как пишешь, и чем отправляешь?
>>134160853Маня, ты ебанутая? Как ты залогинишься с данными этой сессии? Иди сначала книжки почитай
С чего ты взял, что это возможно, наркоман? Сессия на стороне сервера, блять, цепляется.Если там какая-нибудь мультидоменная сессия, которая хранится в каком-нибудь ХуеRedise, то ты можешь спиздить куки и подставить.То, что ты имеешь часть хэша админа дает тебе ровным счётом нихуя, ибо оставшийся кусок хэша ты не имеешь и можешь брутить хуеву тучу лет. csrf вообще одноразовый и служит для того, чтобы всякие мрази не спамили в форму без открытия странички.
>>134163381>>134162944Есть еще authenticity_token из sandbox.И _csrf_token не одноразовый, а в каждом запросе одинаковый(для одного и того же пользователя) разница в запросах месяц.
