Как исправить ошибку в работе с API?

Question

[QWATRIX]

Давным-давно написал скрипт авторизации с одним сайтом и все работало как надо.
А теперь оно сломалось. Сам ничего не менял.
Вот код:

$post_data = json_encode(["email" => $mail,"password" => 'password123456']);



	$curl = curl_init();
	
	curl_setopt_array($curl, [
		CURLOPT_URL => "https://lampyre.io/api/1.5/accounts",
		CURLOPT_RETURNTRANSFER => true,
		CURLOPT_POST => 1,
		CURLOPT_POSTFIELDS => $post_data
	]);


	$response = curl_exec($curl);
	curl_close($curl);

В переменной $mail находится почта для регистрации.

Сайт выдает такую ошибку:

<html>
<head><title>403 Forbidden</title></head>
<body bgcolor="white">
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx</center>
</body>
</html>

Иногда в конце есть:

<!— a padding to disable MSIE and Chrome friendly error page —>
<!— a padding to disable MSIE and Chrome friendly error page —>
<!— a padding to disable MSIE and Chrome friendly error page —>
<!— a padding to disable MSIE and Chrome friendly error page —>
<!— a padding to disable MSIE and Chrome friendly error page —>
<!— a padding to disable MSIE and Chrome friendly error page —>

В интернете не нашел решения моей проблемы.
Помогите пожалуйста.

Повторюсь, все раньше работало.

Апи вытащил через Burp с сайта, на сайте все работает, а тут нет.

Делал даже запрос CURL через командную строку, аналогичный запросу из браузера (генерировал бурп), но выдает такую же ошибку.

В чем может быть дело?

Answer 1

[Иван Шумов]

Поставили защиту. Как обходить? Экспериментировать. С других IP, с нормальными заголовками и все в таком духе

Comments

[QWATRIX]

Блокировка не по ип, заголовки те же что и у браузера ставил, смысла 0

[Иван Шумов]

QWATRIX, как минимум одно из данных утверждений не верно

[QWATRIX]

Иван Шумов,

curl -i -s -k  -X $'POST' \
    -H $'Host: lampyre.io' -H $'Connection: close' -H $'Content-Length: 81' -H $'Accept: application/json, text/plain, */*' -H $'Origin: https://lampyre.io' -H $'Sec-Fetch-Dest: empty' -H $'User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.163 Safari/537.36' -H $'Content-Type: application/json' -H $'Sec-Fetch-Site: same-origin' -H $'Sec-Fetch-Mode: cors' -H $'Referer: https://lampyre.io/api' -H $'Accept-Encoding: gzip, deflate' -H $'Accept-Language: ru-RU,ru;q=0.9,en-US;q=0.8,en;q=0.7' \
    --data-binary $'{\"email\":\"proverkaproverkaproverkaproverka@gmail.com\",\"password\":\"password12345\"}' \
    $'https://lampyre.io/api/1.5/accounts'

Ответ:

HTTP/1.1 403 Forbidden
Server: nginx
Date: Wed, 03 Jun 2020 22:43:35 GMT
Content-Type: text/html
Content-Length: 564
Connection: close

<html>
<head><title>403 Forbidden</title></head>
<body bgcolor="white">
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx</center>
</body>
</html>
<!-- a padding to disable MSIE and Chrome friendly error page -->
<!-- a padding to disable MSIE and Chrome friendly error page -->
<!-- a padding to disable MSIE and Chrome friendly error page -->
<!-- a padding to disable MSIE and Chrome friendly error page -->
<!-- a padding to disable MSIE and Chrome friendly error page -->
<!-- a padding to disable MSIE and Chrome friendly error page -->

[Иван Шумов]

QWATRIX,

HTTP/1.1 201 Created
Server: nginx
Date: Wed, 03 Jun 2020 22:46:25 GMT
Content-Type: text/plain; charset=utf-8
Content-Length: 12
Connection: close
Access-Control-Allow-Origin: https://lampyre.io
Access-Control-Expose-Headers: 
Cache-Control: no-cache

201: Created

[QWATRIX]

QWATRIX, запрос построен по браузеру, где все удалось

[QWATRIX]

Иван Шумов, этот же запрос вставили?

[Иван Шумов]

QWATRIX, ну вот у меня и удалось. Через Curl. Значит все в порядке

[Иван Шумов]

QWATRIX, да

[QWATRIX]

Иван Шумов, спасибо за помощь, буду копать в этом направлении

Answer 2

[xbox]

Столкнулся с такой же ситуацией.

Причем в моем случае я пробовал подключиться к главной странице своего пустого сайта.
При обращении с помощью скрипта на питоне выдавался код ответа 404, а сама страница отличалась от моей 404 страницы. В теле ответа были те самые

"<!— a padding to disable MSIE and Chrome friendly error page —>"
"<!— a padding to disable MSIE and Chrome friendly error page —>"

Страница, которую я пробовал получить, была статическая, отдавал ее веб-сервер NGINX. Никаких хитрых защит на сервере я не настраивал и поэтому очень удивился 404-ответу и начал копать.

Все оказалось очень просто. Оказывается, я взял скрпит из другого проекта. В заголовках headers в поле host было задано имя домена, которое не соответствовало новому домену, на котором проводились тесты. Как только я установил правильно значение "host" в заголовках запроса (так, чтобы оно совпадало с доменом, к которому обращался), соединение прошло успешно и отдалась правильная страница.

Так это на питоне можно задать. Переменную headers потом используем при подключении с помощью Requests итп.
На большинстве языков программирования будет что-то похожее.
headers["host"]="my_domain.com"