Доброго времени суток дорогие пользователи форума. Собирая ссылки под анализ, решили глянуть сервис best-proxies на наличие уязвимостей или возможности абуза премиум подписки. Сначала производили различные тесты с XSS а так же SQL уязвимостями, но в скоре заметили интересный момент. А именно, в описании апи мы заметили указание ключа "developer" для возможности тестов API best-proxies, но в скором времени пришла идея что если попробовать зайти под этим ключем в саму панель а не вызываться с API. При попытке ввести ключ на прямую как и ожидалось выдало ошибку: Но, при этом мы заметили что нам при заходе на сайт присвоились куки sid и secure, что натолкнуло на идею вызвать api в браузере, и возможно это обновит наши куки и даст возможность пользоваться панелью. В принципе так и получилось, при вызове запроса GET | https://api.best-proxies.ru/proxylist.json?key=developer Code GET | https://api.best-proxies.ru/proxylist.json?key=developer и обратном переходе на сайт, наша кнопка "Войти" привратилась в "Премиум" Тем самым наша теория о том что сессия обновилась при запросе, сработала. Далее мы зашли в информацию об аккаунте и заметили следующее: А имеено, то что лимиты на данный ключ полностью отключены, тем самым количество запросов с него не ограничено. Хотя API не дает нам забрать более 10 адресов, но как же быть? А мы пришли к следующему моменту, распарсить сайт за счет обычных запросов и сбора проксей регулярным выражением, но опять же мы нарвались на следующий момент. При просмотре кода страницы мы заметили, что порт ****** не отображается в должном виде: Но немного покопавшись заметили JS код который отвечает за декодировку данных значений: За счет этого мы поняли, что в принципе достаточно просто сделать декодер, который будет декодировать порт при парсинге На скорую руку сделали, скрапер на C# (Ссылку на исходники скрапера оставим ниже) И используя библиотеку Jint (Для выполнения JS кода в C#) Смогли забирать актуальные значение при запросе и декодировать порты в момент парсинга В итоге мы имеем: Бесплатный доступ к премиум ****** Возможность выгрузки листов без использование API Безлимитная подписка за которую не нужно платить (До момента фикса данной проблемы) Для теста произвели парсинг Socks5 ****** Полученный результат: Как пример можно сделать сайт с собственным API и кроном, который будет производить сборк ****** в определеный промежуток времени и выдавать вам на вашем ресурсе (Дабы было автообновление ******) Статья написана в информативных целях. Исходники скрапера VirusTotal исполняемого файла На этом у меня все, спасибо за прочтение статьи. И советую использовать MagicProxy | Лучшие public ****** с автообновлением по низкой цене Статья написана от команды MAGIC DEVELOPMENT
если и правда все это проделали сами, оно работает и не паста, тут только можно сказать, что красавцы
прикольная фигня,софт огонь.Запустил,"спарсил" 381 проксю,проверил,полуживые но пойдет.Прошли сутки.Запустил,"спарсил" 381 проксю,проверил...Удивился что проксей столько же,а оказалось что "парсит" то он одно и тоже))) The post was merged to previous Jan 29, 2024 The post was merged to previous Jan 29, 2024 И ****** те же самые что на скрине у автора
desmodian, Скорее всего до этого вы просто не удалили старый файл Proxy.txt, на данный момент проект уже пофиксил свои недоработки касаемо создания сессии с страницы API По этому теперь эта статья идет просто как пища для размышлений, а так же пример того какие недоработки стоит закрывать в моменты разработки