Как войти на сайт через CURL с CSRF токеном?

Question

[driverx18]

Как известно, на большинстве сайтов (которые построены на фреймворках хотя бы) есть встроенная CSRF защита. Когда я логинюсь на один сайт через PHP скрипт, то отсылаю логин, пароль, какие то еще параметры (какие отправляются пост запросом, показанные во вкладке Network в браузере), но не хватает единственного: мне надо знать CSRF токен, его нужно каким-то способом достать. Буду признателен тому, кто ответит, каким же способом это можно сделать

Answer 1

[Андрей Николаев]

Если сайт построен не на js клиент-фреймворке, то делайте 2 хита:

Шаг 1 - заходите на страницу, собираете csrf запрос, cookie
Шаг 2 - отправляете данные своей авторизации

Comments

[driverx18]

Ну cookiejar собирает кукисы, и оттуда надо получить csrf как то,так?

[Виталий]

driverx18: парсишь страницу, получаешь значение. Как-тотак

[Андрей Николаев]

driverx18: scrf нужно получить из кода формы, а cookie нужны для сохранности (некоторые дублируют в cookie информацию для расшифровки csrf)

[SagePtr]

driverx18: csrf не хранится в кукисах, ибо тогда весь смысл защиты пропадал бы. В теле страницы ищите. Самое вероятное место - в скрытых полях формы, которую хотите отправить.

[Андрей Николаев]

SagePtr: а где указано, что он там хранится? Я лишь указал на то, что может быть параметр в cookie от которого зависит csrf.

[SagePtr]

Андрей Николаев: это был ответ на самый верхний комментарий