Парсим админку Мегамаркета с помощью скрытых API

  Рет қаралды 74,566

Алексей Куличевский

Алексей Куличевский

Күн бұрын

Пікірлер: 191
@GraF4444
@GraF4444 5 ай бұрын
Доброго времени суток! Пара замечаний, возможно автору будет интересно:) 1 Для того чтобы не бегать по каждому запросу во вкладке Network, можно воспользоваться поиском (cmd+f), который ищет вхождение текста по всем запросам (загаловкам, запросам, ответам) 1.1 У Вас уже стояла настройка, но лучше думаю для людей оговорить явно, что чтобы отображались именно ответы/запросы к серверу, нужно выбрать вкладку Fetch/XHR 2 Чтобы не копировать поотдельности хедеры и данные запроса, можно нажать на зпрос правой клавишей мыши, выбрать копировать, и копировать как curl или как fetch запрос и тп 2.1 Я находил оналйн сервисы, которые из curl могу сгенерировать запрос на любом языке, в том числе и на питоне, если запросов несколько, гораздо удобнее делать так, может сэкономить время:) Надеюсь было полезно:)
@Vladimir_F609
@Vladimir_F609 4 ай бұрын
Спасибо большое за инфу!!!
@tokosotomimo14
@tokosotomimo14 Ай бұрын
в постмане тоже есть такая функция curl в python. не всегда в Fetch/XHR удается найти нужные запросы. иногда в самом html уже есть ответ от апи с данными
@garryoldman5319
@garryoldman5319 7 ай бұрын
В реальности все обычно сложнее, content-length хедер стоило генерировать динамически все-таки, исходя из отправляемого запроса, иначе это не будет работать даже при добавлении одного символа в пароль. И нередко бывает, что сервер пытается защититься от того, что скрытый API использует кто попало, например, с помощью куков, которые вы полностью выкинули из запроса, часто приходится разбираться и с их генерацией и корректной отправкой.
@kulichevskiy
@kulichevskiy 7 ай бұрын
Все так. Для решения этой задачи куки, к счастью не понадобились. Иначе пришлось бы их в хедер добавлять тоже. Вообще, конечно, лучше всего извлекать данные, когда у сервиса есть нормальный публичный API. К сожалению, Мегамаркет его пока не сделал :(
@АйратШа
@АйратШа 6 ай бұрын
..
@slavaviktorov6053
@slavaviktorov6053 6 ай бұрын
"куков...и с их генерацией" что?))) видео достойное своего зрителя) взять умные слова, перемешать и выдать, для хомячков пойдет, они вон на своей стороне куки генерируют, ага это так и работает))
@АдамСмит-ы7р
@АдамСмит-ы7р 5 ай бұрын
Такого рода хедеры requests автоматически генерирует, совершенно незачем их явно передавать
@apristen
@apristen 7 ай бұрын
честно говоря, я из другой тематики, ткнул на видос увидев "скрытые api" и подумал что какой-то фаззинг (ffuf, kiterunner) будет, "всё как мы SecOps любим", но оказалось речь про парсинг и "бытовое применение", впрочем сделано видео вполне хорошо, советы: фильтровать XHR запросы, выгружать в HAR (это JSON), ну и там смотреть - scope станет меньше и искать нужное станет легче.
@leonidalexeev4098
@leonidalexeev4098 6 ай бұрын
7:49 Лайкайте, чтоб знали. В google chrome есть поиск во всех ответах сервера. Включить можно так: Customize and control DevTools > More tools > Search.
@theeaster2839
@theeaster2839 5 ай бұрын
Только еще надо добавить что Fiddler / Charles лучше использовать в таких целях а не дефолтную хром девтулзу
@ilyapetrov8233
@ilyapetrov8233 5 ай бұрын
​@@theeaster2839в браузере не чем не хуже.
@airdropking5973
@airdropking5973 5 ай бұрын
​@@theeaster2839 Postman все это собрать в коллекцию можно за полчаса
@ezhov_igor
@ezhov_igor 5 ай бұрын
какое чудо, что я тебя нашел! Спасибо тебе огромное. Я только начинаю в этом ковыряться, а ты просто находка для меня!
@ВалентинВоробьёв-ф1э
@ВалентинВоробьёв-ф1э 5 ай бұрын
Я вцелом понимал как это работает, но была проблема с пониманием откуда брать "токены" или "сессии", а теперь вижу что все работает проще пареной репы, большое спасибо за информацию!!!
@kappaccy657
@kappaccy657 3 ай бұрын
Словно посмотрел экранизацию романа Агаты Кристи. Ранее натыкался на ролики автора, но смотрел мельком, предвзято(т.к. подавляющее set() авторов показывают или мишуру, или типовые примеры). Ролик зашел - ничего не сказать. Очень классные сравнения, несколько деталек пазла легли в общую картину. Спасибо
@EduardPovierin
@EduardPovierin 7 ай бұрын
Отличный урок, я в восторге!!!! Как раз вчера задумался о 2 проектах, а там как раз нужно делать сбор данных с апи + сессия. Выручил❤️
@el.2084
@el.2084 3 ай бұрын
Спасибо большое! Прям то что доктор прописал для новичка.
@АндрейЛарионов-ж3э
@АндрейЛарионов-ж3э 7 ай бұрын
Когда перешёл сюда предполагал поиск скрытых api, которые недоступны обычному пользователю и не отображаются в network, потому что обычным пользователем просто не вызываются. Но в целом для темы парсинга это действительно полезная вещь. А я всё таки скорее из тематики безопасности и уязвимостей. Приходилось находить некоторые как я описал действительно скрытые api. Занимает это обычно гораздо больше времени и нужно для других целей, но это совсем другая история.
@garrag8421
@garrag8421 6 ай бұрын
А можете рассказать , вы для нахождения скрытых апи использовали вордлисты и если да то какие ?
@АндрейЛарионов-ж3э
@АндрейЛарионов-ж3э 6 ай бұрын
@@garrag8421 не думаю, что это лучшее место для обсуждения таких вопросов. И тем не менее мне интересно ответить. Для начала решил попробовать найти хоть что-то с малым словарём от dirb, потом, когда убедился в том, что можно найти что-то не прикрытое, взял словари Api из SecList.
@DAJakaRedAries
@DAJakaRedAries 5 ай бұрын
Вот эта тема уже реально интересная)
@alexlutor72
@alexlutor72 6 ай бұрын
Посмотрел, на половине пути поставил лайк. Досмотрел - подписался. Крутая подача, всё понятно по запросам.
@vagavagus
@vagavagus 7 ай бұрын
Отличный контент, здорово что ты захватываешь сразу несколько смежных тем, связанных с основной
@lowpolyman24
@lowpolyman24 6 ай бұрын
Походу многие безопасники кликнули по видосу из-за названия)) Тоже подумал про фаззинг
@kulichevskiy
@kulichevskiy 6 ай бұрын
самому теперь интересно, что за фаззинг такой :)
@Дмитрий-м7т7ф
@Дмитрий-м7т7ф 6 ай бұрын
Реально
@mr.dandomi
@mr.dandomi 6 ай бұрын
жиза
@qAntBcn
@qAntBcn 5 ай бұрын
Супер подача, автор молодец все коротко и в то же время ясно, без воды. Если весь курс будет сделан точно так же, то это бомба ) Аш питон захотелось освоить ) Смотрел просто ради интереса, знаком с веб программированием, но не с питон. Хотелось бы посмотреть видео, где есть что то действительно сложное для понимание, но простым языком
@ВиталикВиршин
@ВиталикВиршин 3 ай бұрын
А что у вас за плагин в VSCODE которые фон у блоков кода выделяет, подскажите пожалуйста.
@alexkooper9467
@alexkooper9467 7 ай бұрын
я не заметил, где тут скрытый Api если он открытый и отображается через dev tools. Скрытый это к примеру мобильный Api, который на прямую без того же токена не работает.
@kulichevskiy
@kulichevskiy 7 ай бұрын
можно заменить скрытый на «внутренний» суть в том, что его явно делали для внутреннего пользования и, например, не публиковали документацию
@apristen
@apristen 7 ай бұрын
видимо имеется не тот "скрытый api" который хвакеры находят с помощью ffuf или kiterunner (ожидал нечто подобное от данного видео если честно), а просто api не внесённый в документацию.
@sas408
@sas408 6 ай бұрын
@@kulichevskiy тогда это называется "незадокументированный"
@slavaviktorov6053
@slavaviktorov6053 6 ай бұрын
@@kulichevskiy т.е. АПИ который торчит наружу в ентернет и доступен каждому это скрыты АПИ для внутреннего пользования?) А если к этому АПИ сгененрировать документацию на основе имеющегося har это будет уже полускрытое АПИ?
@slavaviktorov6053
@slavaviktorov6053 6 ай бұрын
@@sas408 "незадокументированный" эмм, этот термин не применяется к данному случаю)
@darkall9564
@darkall9564 7 ай бұрын
1 - бывает что делают защиту от таких вот любителей)) 2 - бывает что все работает только через токен 3 - бывает что отправляют в апи зашифрованные данные (или отправляют контрольную сумму, которую вычисляют своим специальным алгоритмом UDP: используйте постман для проверки и анализа скрытого апи)) а уже потом в код переносите Думаю тоже как нибудь видос запилить о подводных камнях этого дела))
@kulichevskiy
@kulichevskiy 7 ай бұрын
Все так, надо каждый раз разбираться, как работает API, как устроена авторизация и т.п. Про Postman - я его так и не освоил нормально, мне удобнее сразу в код ¯\_(ツ)_/¯
@Roman-o6w1c
@Roman-o6w1c 7 ай бұрын
А ещё бывает Cloudflare))).
@apristen
@apristen 7 ай бұрын
для этого есть webdriver же, берёте им "осёдлываете" браузер ну и даже user activity (хаотичные микродвижения мышкой) делаете иногда чтобы "за своего сойти". ещё вариант есть с написанием своего extension для браузера (локальная установка - никого спрашивать разрешения не надо, браузер поддастся, вы же development делаете типа) у extension - весьма широкие полномочия доступа к DOM и не только. оба метода выше - это как в том анекдоте про обвес: "дырка в гирьке, дырка в гирьке... как будто нельзя дырку в калькуляторе просверлить! 😀"
@NoName-tb1uj
@NoName-tb1uj 7 ай бұрын
Сделай такой видос, желательно на вход через JWT)))
@shape3046
@shape3046 6 ай бұрын
@@NoName-tb1uj Там суть в принципе такая же, только вместо sessionId нужно запрашивать jwt токен, который сервер обычно отдает в response авторизации
@dasdasfsdgjopjtopheoibzfdbf
@dasdasfsdgjopjtopheoibzfdbf 6 ай бұрын
Я действительно подумал о том, что ролик Заглянул в комментарии Теперь стало интересно что такое фаззинг 😅
@demimurych1
@demimurych1 5 ай бұрын
А еще, можно сначала освоить доступный инструментарий. В котором внезапно, есть запись последовательности действий, которые потом можно использовать либо как готовый сценарий для папитира, либо как лог который намного проще исследовать.
@antony4186
@antony4186 6 ай бұрын
Спасибо мне в своих хакерских навыках пригодится, а самое главное так хорошо и отлично поясняешь! Низкий поклон! Подписка👍
@tokosotomimo14
@tokosotomimo14 Ай бұрын
любой пароль из ввода можно посмотреть если открыть инструменты разработчика и выбрать этот элемент(input). в свойстве type будет passord. просто меняем на text
@keyboardcrash38
@keyboardcrash38 6 ай бұрын
я удивлён, насколько всё понятно и спокойно ты объясняешь
@ВячеславКуприянов-щ9с
@ВячеславКуприянов-щ9с 6 ай бұрын
Крутые усы!)
@annapetmikel4356
@annapetmikel4356 6 ай бұрын
круто!!! спасибо за понятный урок ❤❤❤
@germanmariot34
@germanmariot34 5 ай бұрын
Ого, как же круто знать JS. 😮
@EmailixProtonovskiy
@EmailixProtonovskiy 6 ай бұрын
Я бы на твоем месте burp suite использовал, это более серьезный инструмент для реверс инженеринга api. Есть вещи, которые в devtools будет удобнее посмотреть, но burp в большинстве случаев лучше
@karmandrey
@karmandrey 7 ай бұрын
Спасибо за видео! Все очень понятно
@at93645
@at93645 7 ай бұрын
подскажите, пожалуйста, как у вас без print появляется output?
@kulichevskiy
@kulichevskiy 7 ай бұрын
просто я в VSCode работаю с Jupyter-ноутбуками.
@ДавидЛазаров-т8ц
@ДавидЛазаров-т8ц 5 ай бұрын
Спасибо за логин и пароль. Шутка 😁 Как всегда Круто. 51к просмотров и 9к подписок. Ребят подписывайтесь и ставьте лайки. Автор - ТОП.
@phnmnful
@phnmnful 5 ай бұрын
userSDPass, они что реально пароль передают в ответе
@ДавидЛазаров-т8ц
@ДавидЛазаров-т8ц 5 ай бұрын
@@phnmnful ну типа это закрытое пространство, хотя всё равно мегатупо
@phnmnful
@phnmnful 5 ай бұрын
@@ДавидЛазаров-т8ц, т.о. ещё они не хеши паролей хранят.
@danidi1
@danidi1 7 ай бұрын
Хотелось бы такое же видео про скрытые api как покупателя для сайта ozon и WB. Чтобы мониторить цены
@ДанзанУчуров
@ДанзанУчуров 7 ай бұрын
А ты сам напиши 😅
@Sashok2804
@Sashok2804 6 ай бұрын
Интересное видео, но хотелось бы услышать про CORS заголовки, ведь бывает что сервер может вроде как не отдать данные просто так
@bahrambobojonov44
@bahrambobojonov44 Ай бұрын
подскажите, каким-то образом отслеживают такие действия? Насколько легально и законно делать запросы по скрытым апи?
@kulichevskiy
@kulichevskiy Ай бұрын
не воруйте чужие данные и все будет ок :) свои данные скачивать можно сколько угодно
@bahrambobojonov44
@bahrambobojonov44 Ай бұрын
@@kulichevskiy имеете ввиду под своей учеткой сколько угодно можно скачивать свои данные в том числе скрытым апи?
@kulichevskiy
@kulichevskiy Ай бұрын
​@@bahrambobojonov44 теоретически :)
@kulichevskiy
@kulichevskiy Ай бұрын
а вообще читайте условия пользования сервисом, если они там не запрещают, то можно
@archibaldo
@archibaldo Ай бұрын
@@bahrambobojonov44 какая разница ты запрашиваешь свои данные или браузер. Эти api для клиенской стороны, и ты как клиент запрашивай сколько хочешь свои данные. Не законно если ты запрашиваешь данные другого пользователя без его разрешения
@apristen
@apristen 7 ай бұрын
Для "бытового уровня" очень даже сильно! 💪🏻 Скоро автор начнёт не только preserve logs галочку ставить, но и фильтровать галочкой XHR запросы только (дабы убрать запросы к статике и прочим картинкам) и в HAR файл выгружать это всё (по которому смотреть удобно, это JSON по сути всех запросов с их параметрами), а потом ещё "немного помучавшись" с этой ручной работой - плюнет и возьмёт Selenium (Playwright тот же для Python) и будет запускать и "оседлает" своим кодом Headless Browser (а может даже и не headless, запускают же китайцы клик-фермы на куче дешёвых телефонов) дабы выглядеть для сайтов прям "юзером индентичным настоящему" ;-)
@InojjHacker
@InojjHacker 7 ай бұрын
если возможно, лучше обходиться без selenium'а и playwright'а)
@apristen
@apristen 7 ай бұрын
@@InojjHacker почему? легковесность? на данный момент наблюдаю куда важнее скорость разработки, TTM (Time To Market).
@InojjHacker
@InojjHacker 7 ай бұрын
@@apristen скорость разработки на запросах не сильно выше, а преимуществ куча. требует меньше ресурсов для работы, сильно быстрее, формат ответа меняется не так часто, как фронтенд. конечно стоит сказать, что если есть всякие защиты, то придется использовать браузер, но если таких проблем нет, то на запросах решение лучше.
@apristen
@apristen 7 ай бұрын
@@InojjHacker в целом соглсен. интересно как Auth0 вот так запросами сделать ;-) есть видео?
@InojjHacker
@InojjHacker 7 ай бұрын
@@apristen ну такое скорее всего сложно будет. Я иногда запускаю браузер чтоб получить токен или куку через авторизацию, а потом в запросах использую, уже без браузера.
@dklmn7462
@dklmn7462 6 ай бұрын
А с мобильных приложений можно хакнуть, какие API они дергают?
@AndrueUkr
@AndrueUkr 6 ай бұрын
Use wireshark
@Lifenity
@Lifenity 4 ай бұрын
Да уж..... Я прекратил свою десятилетнюю деятельность веб-мастера в 19-ом году. Даже идеи "собирать структуру сайта на лету" не существовало. По крайней мере, ни от одного знакомого веб-мастера не слышал, ни на одном форуме об этом не читал. ОБН: Хах, ну да, как можно было забыть о JSON и технологии Ajax.... ну или схожей с ней. МегаМаркет подгружает только часть сайта. Для обычных пользователей HTML структура находится внутри документа, а не через БД или другие способы. Короче, не на лету. И да, у них есть "мусор" в коде..... я в своей работе никогда подобного не допускал.
@rucaua
@rucaua 6 ай бұрын
Если это скрытый api то какой тогда открытый? Я так понимаю то что вы назавете о крытым, вообще не api
@pavel_luck
@pavel_luck 7 ай бұрын
Делал подобный парсер для wildberries на c# с библиотекой парсинга и исполнения JS кода, там пришлось делать несколько вложенных запросов потому что перед запросами к данным происходит вычисление к какому домену обращаться для получения данных
@Ivan-w2o9f
@Ivan-w2o9f 6 ай бұрын
а можно сделать данный код через асинхронность(asycio, aiohttp)?
@Katar1x
@Katar1x 5 ай бұрын
*Инфа, конечно, для самых маленьких и начинающих, но подано неплохо*
@Pupok_Production
@Pupok_Production 6 ай бұрын
что же за золотой человек! спасибо
@ilya-o8r
@ilya-o8r 5 ай бұрын
Алексей привет! Очень интересное видео, спасибо) Сам так иногда делаю. Я не большой спец в Пайтоне и работе со скрытыми АПИ, по этому есть вопрос -- нет ли опыта взаимодействия таким образом с Яндекс Маркетом? Нужно доставать отзывы и вопросы по товарам и отвечать на них. Стандартный апи не имеет методов ответа. Конкретно с Маркетом есть проблема с получением Sk -- некий секрет кей, который передается с каждым запросом на маркет (headers). Метода получения этого ключа напрямую нет. Есть skid -- вероятно айдишник, который на беке в яндексе достает секрет кей. Я пока не смог победить)
@kokojolo
@kokojolo 6 ай бұрын
Привет. Чем пользуешься для рисования схем 3:30 ?
@kulichevskiy
@kulichevskiy 6 ай бұрын
Просто какое-то рандомное приложение для рисования на айпаде. Concepts, кажется.
@Геннадий-с5э
@Геннадий-с5э 6 ай бұрын
Можно Selenium использовать
@СергейАлександрович-и1й
@СергейАлександрович-и1й 2 ай бұрын
Про парсинг в космическом масштабе жду ролик
@bespalove4882
@bespalove4882 6 ай бұрын
Подскажите пожалуйста! На какой должености можно работать, если иметь такие знания?
@ilyin_sergey
@ilyin_sergey 6 ай бұрын
Если __только__ эти - Junior Python dev, например
@aRRma99
@aRRma99 5 ай бұрын
Директор НИИ!!! Зарплата +100500 попугаев!
@Yuriy.Babaev
@Yuriy.Babaev 7 ай бұрын
Как??? Как вы узнали, что я гуглили парсинг?) Как не странно, часто когда у меня возникает проблема, вы выпускаете нужное мне видео. Это точно мне поможет! Есть способ парсить гугл запросы подписчиков!?)
@drevo100
@drevo100 6 ай бұрын
крутое видео, раскрыло глаза на многое. Спасибо большое
@AntowaKartowa
@AntowaKartowa 6 ай бұрын
А если общение происходит по GraphQL?
@through-it
@through-it 5 ай бұрын
сниффер в помощь, например wireshark
@NoName-tb1uj
@NoName-tb1uj 7 ай бұрын
А если на сайте JWT, как можно выполнять вход в кабинет таким образом?
@kulichevskiy
@kulichevskiy 7 ай бұрын
Хммм, надо попробовать. Если честно, я не очень глубоко понимаю, как там подпись генерируется.
@Lifenity
@Lifenity 4 ай бұрын
Хех. Спасибо, подписался.
@Andrey2011198
@Andrey2011198 7 ай бұрын
Почему фильтром в нетверке не пользуешся ?
@kulichevskiy
@kulichevskiy 7 ай бұрын
для наглядности :)
@tretiakov7
@tretiakov7 5 ай бұрын
А если капча вылезет? Постоянно стучаться в АПИ как минимум может фильтр сработать, особенно если авторизация )
@liker12345ffff
@liker12345ffff 5 ай бұрын
Это очень простой пример. Вот есть юла, например, где требуется постоянно обновлять токен и кукисы при запросе.
@niknuklas
@niknuklas 5 ай бұрын
Всплывает капча и вашь код не сработает
@beerhunters_fp
@beerhunters_fp 7 ай бұрын
Интересно было бы такое разобрать на примере сайта, который получает сигнал через открытые сокеты. То есть сокет почти всегда открыт, прилетает новый заказ, и после чего он превращается на сайте в элемент. Как быть в такой ситуации? К сокетам подключился, но в этом случае получаю только оповещение on_message, оно возвращает {'message':'update'}
@kulichevskiy
@kulichevskiy 7 ай бұрын
А можете дать пример такого сайта?
@beerhunters_fp
@beerhunters_fp 7 ай бұрын
@@kulichevskiy написал вам в ТГ
@PavelElzateev
@PavelElzateev 6 ай бұрын
вот только у некоторых сервисов captcha 3 не даст получить id таким способом, тоже думал, что речь пойдет о действительно скрытом api
@rackman7413
@rackman7413 6 ай бұрын
Админка понятно, а вот товары так не получается забрать, пробовал? Может я просто что то делаю не так
@РоманГришаев-ъ2ж
@РоманГришаев-ъ2ж 7 ай бұрын
По моему, при поиске нужного запроса по части значения, быстрее будет в каждом запросе развернуть весь ответ(через Expand recursively в контекстном меню) и базовым ctrl+F найти нужное значение ctrl + F - также работает на все активные запросы в NetWork. Так что в теории, можно каждый запрос не разворачивать))
@darkall9564
@darkall9564 7 ай бұрын
не всегда такое поможет, особенно когда запросов много во время сессии происходит (метрика или реклама подгружается например) Устанешь каждый запрос это все перепроверять
@cockroach_eater3
@cockroach_eater3 5 ай бұрын
Интересно нафига бек выдает куки, если при запросе игнорирует их отсутствие)
@biovawan
@biovawan 7 ай бұрын
Дорогие зрители, помните, что аутентификация и авторизация разные процессы! Автор использует авторизацию описывая аутентификацию, что в корне ложно. Аутентификация - вход в систему используя (email, password). Авторизация - проверка прав доступа (удаление, чтение, обновление и создание)
@kulichevskiy
@kulichevskiy 7 ай бұрын
ага, все верно, спасибо за поправку!
@ВячеславПлешков-с4д
@ВячеславПлешков-с4д 5 ай бұрын
Спасибо
@apristen
@apristen 7 ай бұрын
Кстати "любителям похимичить" ещё hint: пишете свой плагин (локально можно любой ставить, не требуется одобрения store браузера) который имеет полный доступ к DOM ну и также может задетекченное вообще локально сам в тот же CSV или JSON загенерить, получается всё работает прямо в браузере и доступ наиполнейший к контенту (круче только уже через webdriver если), ну единственный "минус" это на JS надо писать, а не Python.
@nevedimka9040
@nevedimka9040 6 ай бұрын
опять ютуб почему то удаляет мои комменты. В общем если кратко, то я писал, что в detools можно увидеть js код, который инициировал запрос, далее найдя место отправки запроса, можно легко найти место получения ответа. Остается с помощью того же devtools перезаписать js код, что бы полученный ответ отправлять прямиком на свой api
@neyasbit
@neyasbit 7 ай бұрын
Бомба! 💣
@falcon_d3v
@falcon_d3v 2 ай бұрын
так парсинг это же когда из html достают данные а не с прямого проксирования api
@biovawan
@biovawan 7 ай бұрын
Дорогие зрители, сайт генерируется динамически, а не автоматически
@sergeylapshin7472
@sergeylapshin7472 6 ай бұрын
есть только проблема одна и это если есть ключ апи (причём если он генерируется), потому что ключ ты нигде не достанешь если сам сайт не дает его. Если его не кинуть в запрос он просто не ответит за запрос, а получить его практически невозможно, особенно генерируемый.
@АдамСмит-ы7р
@АдамСмит-ы7р 5 ай бұрын
Ну какие же они скрытые, если прямо во вкладке Network палятся, кек. Я вот как-то столкнулся с тем, что бэк мне вернул JSON с описанием ошибки вида «я попытался послать такой-то запрос на такой-то урл и получил такой-то status code», и внезапно это внутреннее апи было доступно извне и не было обложено рейт-лимитами, в отличие от того внешнего слоя, в который ходил собственно браузер. Проработало это, увы, не слишком долго (я сделал бесплатного бота, который помогал людям записываться в какую-то бюрократическую структуру), но было забавно.
@хахахахха-м4о
@хахахахха-м4о 6 ай бұрын
Я не очень понимаю зачем долго искать руками если нам известно айди карточки или название есть после filter. И куку можна использовать старую а , лучше всего генерить руками так администрация сайта не надоест ограничений за автоматизациию.
@mrx7mrx
@mrx7mrx 6 ай бұрын
норм, вот только каждый раз логинишся при запуске кода. неплохо бы узнать время хранения этого сешн_айди и логиниться только в случае если он истёк.
@DreamingDolphing
@DreamingDolphing 5 ай бұрын
Интересно, а почему CORS политика не сработала? По идее API на бэкенде должно принимать запросы исключительно от собственного фронтенда и тогда ваши эксперименты не удались бы.
@romankonstantinovich2584
@romankonstantinovich2584 7 ай бұрын
ОЗОН и Вб слабо?
@kulichevskiy
@kulichevskiy 7 ай бұрын
Если вы про API, то вот видео про WB - kzbin.info/www/bejne/hXeqdJJoq7Jod5Y а вот про Озон - kzbin.info/www/bejne/iZraqaKMa792jrc
@apristen
@apristen 7 ай бұрын
@@kulichevskiy а они не блочат как-то прямые запросы не от браузера? ну там детект user activity (точнее отсутствие такого activity), например, многие сейчас даже управляемый через webdriver браузер детектят, например, юзер "слишком быстр" и не двигает мышкой = скорее всего бот, блочим. приходится мышкой двигать прям automation тулзой и немного рандомизировать user journey по сайту чтобы сойти за настоящего прям юзера.
@drakewilson5936
@drakewilson5936 7 ай бұрын
А будет запись вебинара?
@kulichevskiy
@kulichevskiy 7 ай бұрын
Будет, но не публично, а для тех, кто записался. Так что записывайтесь :)
@vovcoc1
@vovcoc1 7 ай бұрын
сделайте видео-урок на тему парсинга Bitrix24, есть задача получить данные с него, но не могу даже авторизацию победить
@kulichevskiy
@kulichevskiy 7 ай бұрын
Хммм, так у них ведь есть API: dev.1c-bitrix.ru/rest_help/ Лучше использовать его, наверное
@ДмитрийЯкимук-ж9у
@ДмитрийЯкимук-ж9у 7 ай бұрын
Расскажи, пожалуйста, про заголовки запросов и ответов подробнее, что там, какая инфа, как они формируются.
@Diqeeeeeeeeeei
@Diqeeeeeeeeeei 6 ай бұрын
Как сократить видео до 5 минут. 1. Находим запрос 2. Тыкаем на него правой кнопкой мыши сохранить как curl 3. Вставляем в postman 4. В postman в раздели копирования запроса, выбираем python и копируем готовый код на pythone 5. Вставляем в свой проект
@ЛюбовьКазачкина-к3у
@ЛюбовьКазачкина-к3у 4 ай бұрын
Можно вместо postman все сделать онлайн на сайте curlconverter и также получить хоть код на питоне, хоть на любом другом популярном языке
@gugentuy
@gugentuy 7 ай бұрын
1:38 на заборе аналитики у них нарисован писюн
@RedPixel.Studio
@RedPixel.Studio 6 ай бұрын
Спасибо!
@АндрейСурыгин-м1з
@АндрейСурыгин-м1з 6 ай бұрын
Отличный видос. Минус безопастности сберу
@imbaquad
@imbaquad 6 ай бұрын
Алексей, главное, пароль не забудьте сменить, а то засветили.
@kulichevskiy
@kulichevskiy 6 ай бұрын
Дада, мы осознанно :) Все хорошо, спасибо!
@rusvedus1009
@rusvedus1009 7 ай бұрын
Давай разбор Яндекс карт)
@kulichevskiy
@kulichevskiy 7 ай бұрын
А что там? Там ведь нормальный API есть
@crypt-learner1471
@crypt-learner1471 7 ай бұрын
объясняешь как боженька) если бы использовал зеннопостер вместо питона, то купил бы курс
@RogDraken69
@RogDraken69 7 ай бұрын
пушка!!!!
@drakewilson5936
@drakewilson5936 7 ай бұрын
Крутое видео, усы тоже крутые
@Shaha_240
@Shaha_240 7 ай бұрын
я слабо товары парсит? не админку а самих таваров то есть характеристики фото описание цену и так далее
@0020-l1w
@0020-l1w 7 ай бұрын
Файлы с точкой в начале это скрытые файлы в linux, поэтому .env)))
@SPORTCHEER
@SPORTCHEER 6 ай бұрын
кайф
@maxsaaaiko7055
@maxsaaaiko7055 6 ай бұрын
Я к тебе всю Школу 21 приведу с: Чудесное видео
@TheGamePassage
@TheGamePassage 6 ай бұрын
Мне как сотруднику Мегамаркета отвечающему за часть кабинета продавца, где гуляет в видео автор, стало интересно, что же там за "Секретные API" такие ))
@paveltkachenko8108
@paveltkachenko8108 6 ай бұрын
🤫
@kulichevskiy
@kulichevskiy 6 ай бұрын
Пожалуйста, не баньте нас 😇
@kulichevskiy
@kulichevskiy 6 ай бұрын
Кстати, не подскажете, вы случайное не слышали где-нибудь в коридоре у кулера, нет ли планов выпустить нормальное API для получения статистики? Я с радостью выпущу инструкцию :)
@YaroslavBadikov
@YaroslavBadikov 6 ай бұрын
А это законно? На сколько я понимаю это может привести к некоторым проблемам при большом количестве одновременных запросов к апи. Понятно что видео не об этом, но мы все понимаем для чего нужен парсинг. А так же не забывайте, есть ещё так же условия использования. Ну душно согласен, но в целом как считаете могут ли быть проблемы с законодательной стороны?
@Мояшарага-ъ2ж
@Мояшарага-ъ2ж 7 ай бұрын
То есть получается у них ни корс, ни валидация токенов не работают? Это хорошее)
@JamesBond-fi3ir
@JamesBond-fi3ir 7 ай бұрын
ну корсы тока на стороне браузера отработают, а вот с то что без кук работает это странно да))
@kulichevskiy
@kulichevskiy 7 ай бұрын
я тоже удивился, когда увидел
@anonsd5521
@anonsd5521 4 ай бұрын
А смысл всех этих действий? Это самые обычные python запросы на сервер, мы просто скопировали его с нетворка, люди которые пишут фронт на пайтоне не получили совершенно никакой новой инфы.
@koteich_live
@koteich_live 6 ай бұрын
сяб за видос
@WMakeev
@WMakeev 6 ай бұрын
А потом Сбер в один прекрасный момент заблочит акк за нарушение правил использования)
@Pikeman19
@Pikeman19 7 ай бұрын
Лучше попрсить апишку, тк при любом изменении все упадет либо постоянно сидеть и подстраивать свой код под их новую реализацию.
@kulichevskiy
@kulichevskiy 7 ай бұрын
На 100% согласен
@vladork3032
@vladork3032 6 ай бұрын
Серьезно? Гайд по инспектору в 24 году?... Причем тут "скрытые API" вообще? Если они инспектятся, то они уже априори публичные) Я бы понял, если б скрытые смогли обнаружить, когда сервак получает откуда-то данные (сторонние сервисы, бд, конверторы, аналитика и тд) и перехватывать оттуда данные (как вариант). Но не просто обратиться к CRUD сервера и назвать это парсингом, тем более скрытых апи...
@HEDELKA
@HEDELKA 7 ай бұрын
Жаль этого добряка. 😂 Нажимаешь на любой запрос Ctrl+F, берёшь с страницы данные, название, к примеру, и всё, вместо 30 минут 5 сек.)
@ilyin_sergey
@ilyin_sergey 6 ай бұрын
Нужно пройти 300 страниц. 300 раз нажимать будете?
@HEDELKA
@HEDELKA 6 ай бұрын
@@ilyin_sergey искомый тест всегда находится в одном экземпляре)
@HEDELKA
@HEDELKA 6 ай бұрын
@@ilyin_sergey ну и + нужно один раз нажать на любой запрос а после нажать сочетание клавиш, в появившемся окне вставляешь искомый текст, среди всего хлама найдутся только те запросы где есть искомый текст, не важно в заголовках ответе или data)
@bednyakov
@bednyakov 6 ай бұрын
Берлинский акцент очень похож на мордовский))
@ВанёкМаурин
@ВанёкМаурин 6 ай бұрын
Мне одному кажется, что это именно он озвучивает тик токи 'что ты выберешь'
@nine10n
@nine10n 6 ай бұрын
Очень много лишней и неполной информации, начиная про то, что существует только запрос-ответ. Страшно рассказывать автору про вебсокеты - там видимо видео про новые скрытые технологии будет или всякие rpc. А так - видео бесполезное от слова совсем, чисто кликбейт - название, не тратьте время.
@АнтонСтасюк-е4р
@АнтонСтасюк-е4р 7 ай бұрын
Выдал базу
@onemanpsyop
@onemanpsyop 6 ай бұрын
Можно копировать с вкладки нетворк в формате curl и любым онлайн конвертором "curl to code" сразу рабочий код получаешь
Парсинг динамических сайтов | selenium python
43:00
Алексей Куличевский
Рет қаралды 16 М.
Микросервисы Простыми Словами за 1 Час
48:56
Beat Ronaldo, Win $1,000,000
22:45
MrBeast
Рет қаралды 158 МЛН
coco在求救? #小丑 #天使 #shorts
00:29
好人小丑
Рет қаралды 120 МЛН
Мясо вегана? 🧐 @Whatthefshow
01:01
История одного вокалиста
Рет қаралды 7 МЛН
Налог на незнание JavaScript - [Hamster Kombat]
50:20
Сеть и сокеты. База для backend разработчика.
17:11
Константин Козловский
Рет қаралды 51 М.
Автоматизируем Python скрипты с Github Actions | Python Github Actions
49:05
Алексей Куличевский
Рет қаралды 3,6 М.
Beat Ronaldo, Win $1,000,000
22:45
MrBeast
Рет қаралды 158 МЛН