Analýza javascriptového kódu

[kemik]

Ahoj,
dostal jsem za ukol z nasi externi aplikace vyhledavat stavby z katastru nemovistosti.

Po zadani cisla adresy 24572241 a kliknuti na tlacitko se mi nacte informace o nemovitosti. Otevre se link.

nekde v javascriptu se tam generuje ta promenna encrypted=BLLitM229YG7rZ53jKy a ja potrebuju zjistit jak se z cisla adresy vygeneruje ta promenna. Muzete me nekdo nasmerovat jak to muzu zdebugovat?

[Reklama]

[Pixe]

Zaplať si 

https://www.cuzk.cz/Katastr-nemovitosti/Poskytovani-udaju-z-KN/Dalkovy-pristup/Webove-sluzby-dalkoveho-pristupu.aspx

[Pixe]

Pokud ti stačí detail adresního místa, můžeš odkazovat sem...
https://vdp.cuzk.cz/vdp/ruian/adresnimista/24572241

[listoper]

Jak na to tak koukam tak se mi zda, ze se ta promenna negeneruje v js...
prvne je tam POST na https://nahlizenidokn.cuzk.cz/VyberBudovu/Stavba/InformaceO
a ten presmerovava na ten ZobrazObjekt.aspx

Takze debug ti nepomuze

[kemik]

Debug/analyza mi pomuze. Pokud se ten hash generuje na serveru tak potrebuju vedet co mam na ten server poslat aby mi vratil ten hash

[Reklama]

[listoper]

Debug/analyza mi pomuze. Pokud se ten hash generuje na serveru tak potrebuju vedet co mam na ten server poslat aby mi vratil ten hash

Tak co se posila na server je videt v developer tools -> Network -> klik na InformaceO a podivej se na kartu "request" nebo "datova cast"/"data formularu"... nebo neco takoveho....

Radost mit ale nebudes...

[alex6bbc]

kouknul jsem na to wiresharkem, zakodovany binarni bordel TLS :-(

[Death Walker]

kouknul jsem na to wiresharkem, zakodovany binarni bordel TLS :-(

Pouzi mitm...

[Death Walker]

Debug/analyza mi pomuze. Pokud se ten hash generuje na serveru tak potrebuju vedet co mam na ten server poslat aby mi vratil ten hash

Posiela sa to postom,

Kód: [Vybrat]

ctl00$bodyPlaceHolder$txtAdresa "24572241"
narazis ale na premenne __VIEWSTATE, __VIEWSTATEGENERATOR a __EVENTVALIDATION. Hladaj ked tak v nejakej mrkvosoftackej diskusii ako funguje ASP session. Inak ak si sa nedostal ani sem, tak nepotrebujes vediet, bude ti to k nicomu...

[_Jenda]

kouknul jsem na to wiresharkem, zakodovany binarni bordel TLS :-(

Ehm… tohle se dělá pomocí aplikační proxy určené přímo pro hackování webových stránek - například Burp proxy (stačí free verze) nebo zaproxy. Na rozdíl od Wiresharku to umožňuje třeba filtrovat požadavky podle pokročilých kritérií a měnit je on the fly.

Jinak bych zvážil jestli stojí za to JS reverzovat a nešlo by požadovanou akci naskriptovat pomocí Selenium na originální stránce.

[none_]

1. Wireshark je spatny nastroj na tohle. Pokud to nevykoukate z developer tools v prohlizeci, tak to nevykoukate.

2. Vypada to, ze si davaji zalezet na tom, aby nekomu, jako jste vy, zneprijemnili zivot. Na vasem miste bych se zamyslel, jestli by nevyslo levneji zaplatit si docasne pristup.

3. Pokud trvate na tom, ze se tim prohrabete sam, tak ten POST /VyberBudovu/Stavba/InformaceO je to, co musite uspokojit.

Hodne stesti.

[czipis]

mozna bych na to sel z konce jak to volaji mapy.cz kdyz kdekoliv v mape kliknu pravym tlacitkem a vyberu "co je zde" tak pak v pravem menu vygeneruje link do katastru ve tvaru:

Kód: [Vybrat]

$ curl "https://nahlizenidokn.cuzk.cz/MapaIdentifikace.aspx?l=KN&x=-603131&y=-1160461"

<html><head><title>Object moved</title></head><body>
<h2>Object moved to <a href="/ZobrazObjekt.aspx?encrypted=Rp02kW5OVJ8QZye3F0lb7Fq-Gw6FS1B-bnSJO7Jdi029vDu-7ILjM38eFvRwvzuvQVtRgqwzAiMZxlFZQRtOyX8QPtPCGPt62QawaARNO1_oqSr6hOOATre3FS-SbB0t9HnU8c8pmcjWNd21qEgejiTv7czt2pCl0rsf9BouiAiHUjYwWB3OSGUlq7I48IzX">here</a>.</h2>
</body></html>

treba vam bude stacit zjistit jak ze znamych GPS souradnic ziskat ty promenne "x" a "y" do toho linku

[czipis]

dalsi k inspiraci: https://github.com/barasoukup/katastr_vlastnici