Kapitola 4

Za firewallem

═══════════════════════════════════════════════════════════════════ KAPITOLA 4: ZA FIREWALLEM ═══════════════════════════════════════════════════════════════════ Tvoje relace byla UKONČENA. Někdo mocný ti odebral přístup. Tvůj token vrací 401. Špeh ví, že se blížíš. Ale pro nouzové situace existují staré protokoly - cookies co přežijí, relace co vydrží. Najdi jinou cestu dovnitř. Čas běží. ═══════════════════════════════════════════════════════════════════

Naučíš se: Autentizace, Cookies, Sessions

Vlož svůj token pro sledování postupu:

curl -X POST https://httpqueen.net/investigators/register -H "Content-Type: application/json" -d '{"name": "YourName"}'

4-1 Zamčeno

Nesplněno

Zadání

Vracíš se do paláce a... PŘÍSTUP ODMÍTNUT. Tvůj token byl zrušen. Někdo s vysokou pravomocí zneplatnil tvou relaci.

Příkaz

curl https://httpqueen.net/castle/enter \
  -H "Authorization: Bearer TVUJ-STARY-TOKEN"
# Vrací 401 Unauthorized

Co se naučíš

401 Unauthorized znamená, že tvé pověření jsou neplatná nebo vypršela. Relace mohou být zrušeny na straně serveru.

Stará Margot šeptem: "Tvůj starý token vrací 401. Potřebuješ novou cestu dovnitř."

4-2 Nouzová autentizace

Nesplněno

Zadání

Stará Margot šeptem zmiňuje nouzové protokoly - zadní vrátka pro vyšetřovatele, když normální kanály selžou.

Příkaz

curl -X POST https://httpqueen.net/auth/emergency \
  -H "Content-Type: application/json" \
  -d '{"investigator_id": "TVOJE-ID", "reason": "session_revoked"}'

Co se naučíš

Více autentizačních cest poskytuje odolnost. Nouzová/záložní autentizace má často omezení, ale drží tě v provozu.

Stará Margot šeptem: "POSTni na endpoint nouzové autentizace. Budeš muset dokázat svou identitu vyšetřovatele jiným způsobem."

4-3 Nádoba na cookies

Nesplněno

Zadání

Ulož session cookies. Mohou odhalit, jak špeh komunikuje.

Příkaz

curl -c cookies.txt https://httpqueen.net/session/establish \
  -H "Authorization: Bearer TVUJ-NOUZOVY-TOKEN"

Co se naučíš

-c cookies.txt ukládá cookies z odpovědi. Jako uložení relace na později. Cookies uchovávají stav mezi požadavky.

Stará Margot šeptem: "Použij -c pro uložení cookies do souboru. Nádoba na cookies zachovává stav relace."

4-4 Návrat

Nesplněno

Zadání

Použij uložené cookies pro udržení relace bez opětovné autentizace.

Příkaz

curl -b cookies.txt -c cookies.txt \
  https://httpqueen.net/session/verify

Co se naučíš

-b cookies.txt odesílá uložené cookies. V kombinaci s -c se curl chová jako prohlížeč udržující stav relace.

Stará Margot šeptem: "Přepínač -b odesílá cookies ze souboru. V kombinaci s -c máš trvalé relace."

4-5 Analýza relace

Nesplněno

Zadání

Prozkoumej strukturu cookies. Je tam víc dat než jen jednoduché ID relace...

Příkaz

cat cookies.txt
# Prozkoumej hodnoty cookies - obsahují zakódovaná data

Co se naučíš

Cookies často obsahují víc než jen ID. Base64 kódování, JSON payloady a metadata se skrývají na očích.

Stará Margot šeptem: "Podívej se, co skutečně JE v cookies. Session cookie obsahuje zakódovaná data."

4-6 Směrování

Nesplněno

Zadání

Důvěrně zkontroluj hlavičky odpovědi. Kam skutečně míří tvůj provoz?

Příkaz

curl -v https://httpqueen.net/session/verify \
  -b cookies.txt 2>&1 | grep -i routing

Co se naučíš

Hlavičky odpovědi odhalují zpracování na straně serveru. Proxy hlavičky, informace o směrování a metadata zpracování tam sídlí.

Stará Margot šeptem: "Použij -v nebo -I pro zobrazení hlaviček odpovědi. Hledej informace o směrování nebo proxy."