获取 Amazon Fiona (Kindle) CSRF 令牌

【问题标题】:Getting hold of Amazon Fiona (Kindle) CSRF token获取 Amazon Fiona (Kindle) CSRF 令牌
【发布时间】:2017-05-11 16:46:01
【问题描述】:

亚马逊有一个administration page for content sent to your Kindle。此页面使用了一个未记录的 HTTP API,它发送如下请求:

{
  "csrfToken":"gEABCzVR2QsRk3F2QVkLcdKuQzYCPcpGkFNte0SAAAAAJAAAAAFkUgW5yYXcAAAAA",
  "data":{"param":{"DeleteContent":{"asinDetails":{"3RSCWFGCUIZ3LD2EEROJUI6M5X63RAE2":{"category":"KindlePDoc"},"375SVWE22FINQY3FZNGIIDRBZISBGJTD":{"category":"KindlePDoc"},"4KMPV2CIWUACT4QHQPETLHCVTWEJIM4N":{"category":"KindlePDoc"}}}}}
}

我为他们之前使用的 API 创建了一个wrapper library,但这次他们添加了 CSRF 令牌,使每个会话都独一无二。这有点碍事,我想知道如何获得这些代币。我没有在 cookie 中找到它。这是在 Chrome 扩展中使用的,所以像 CORS 这样的问题不是问题。

【问题讨论】:

    标签: csrf reverse-engineering kindle


    【解决方案1】:

    实际上,在“XHR”和“Doc”选项卡中手动搜索每个请求的“响应”选项卡后,我发现这个令牌是在myx.html(主页)的内联脚本中设置的:

    var csrfToken = "gPNABCIemSqEWBeXae3l1CqMPESRa4bXBq0W7rCIAAAAJAAAAAFkUlo1yYXcAAAAA";

    这意味着它被设置在window 对象上,使其可供所有人使用。我猜这意味着 Chrome 扩展需要获取此页面并手动解析 html 以检索此令牌。可悲,但可行,虽然非常脆弱:-(

    【讨论】:

      猜你喜欢
      • 2019-10-27
      • 1970-01-01
      • 2016-02-08
      • 2017-01-25
      • 2012-03-20
      • 2020-06-28
      • 1970-01-01
      • 2014-08-20
      • 2021-07-28
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode