sperson Aug 12 at 16:24

Работа с callback_data в Telegram-боте с использованием protobuf + base85

Medium

5 min

1.1K

Instant Messaging * API * Designing and refactoring * Programming *

Tutorial

-1

Comments 6

leshchenko Aug 15 at 06:06

Я новичок. Как злоумышленник может послать нашему приложению update с произвольной callback_data?

sperson Aug 15 at 06:22

Кратко говоря, в момент нажатия кнопки телега подкапотом отправляет запрос с этим callback_data, который далее уйдет на ваш бэкэнд. Вот если этот запрос перехватить и отредактировать, ну или в целом изначально послать запрос самому без нажатия на кнопку, то в callback_data соответственно можно засунуть что угодно.

leshchenko Aug 15 at 06:41

Общение с сервером ТГ идёт через HTTPS - как там перехватить запрос?
Да, понял, если приложение не поллит сервер ТГ, а ждёт апдейтов на вебхук, то да, зная адрес приложения, можно туда отправить подсадной апдейт. Понял.

sperson Aug 15 at 06:52

1: если направить клиент в проксю с фэйковым сертом и если в клиенте не запиннен реальный сертификат чтобы проверять подлинность; ну или если изначально самому сформировать этот запрос без перехватывания и отправить его курлом.
2: вот это возможно если только эндпоинт не защищен никак, там жеж при установке хука можно и секрет задать, и серт даже.

leshchenko Aug 15 at 07:26

Понял (почти) :)))
Не знал про секрет и сертификат при установке вебхука, спасибо

Gosha04ye Aug 15 at 13:02

Ну, наконец-то кто-то расписал нормально, что за дичь бывает с callback_data. А то обычно либо магия в коде, либо каша из строк. Тут хоть понятно как жить, но всё равно в бою будет весело