Ottieni il link per il download usando Postman [chiuso]

0

Attualmente sto ripetendo un sito di download digitale.

Mi è venuto in mente che se posso impostare parametri specifici e inviare una richiesta a un URL specifico, è possibile ottenere l'URL "invia il link per il download all'e-mail dopo il completamento dell'acquisto"? Potrei quindi inviare una richiesta che convalida questa richiesta con i parametri corretti e ottenere effettivamente quel prodotto gratuitamente.

Il motivo per cui sto chiedendo questo e non farlo è perché per ottenere l'URL, dovrei acquistare qualcosa, che almeno è di 20 dollari, e chi vorrebbe sprecare 20 dollari per un piccolo pezzo di corda che potrebbe non essere nemmeno vulnerabile agli attacchi. A proposito, lo strumento che uso è Postman.

    
posta TheGrumpy Controller 18.11.2016 - 12:07
fonte

1 risposta

1

In teoria, sì. Praticamente (e si spera), no. Le transazioni HTTP sono senza stato, la prova di pagamento è sotto forma di un token che denota il pagamento. Il token (o token) in genere sarebbe crittografato, altamente casuale ed essere un mix di qualcosa che identifica il cliente e qualcosa di casuale.

Per replicare con successo questo, dovresti conoscere i parametri esatti, indovinare i valori dei parametri e qualsiasi cookie, impostare correttamente qualsiasi altra intestazione che il server si aspetta ed effettuare la richiesta all'interno della finestra di validità specificata per il token (se timeout è stato stabilito).

Quindi, per rispondere alla tua domanda su "è o è mai stato possibile farlo" - è possibile. Ma una soluzione correttamente implementata lo renderebbe poco pratico per attuare tale attacco. Non importa se lo strumento lato client è un browser o Postman.

    
risposta data 18.11.2016 - 16:46
fonte

Leggi altre domande sui tag