sofortmassnahmen icon indicating copy to clipboard operation
sofortmassnahmen copied to clipboard

Published 20 hours ago verified publisher icon bundesAPI

API Presse- und Informationsamt der Bundesregierung

Open fapsi opened this issue 3 years ago • 2 comments

Mache mal den Aufschlag, würde gerne eine Dokumentation dieser API sehen: https://www.bundesregierung.de/breg-de/suche/ Mich interessieren die Regierungspressekonferenzen, aber dort sind ja auch noch viele andere Inhalte. Der API-Endpunkt im Hintergrund ist nach kurzer Analyse https://www.bundesregierung.de/breg-de/suche/992800!searchJson Kann gerne ein PR dazu machen, nur nicht versprechen, ob vor Ende August.

fapsi avatar Jul 30 '21 00:07 fapsi

ich hab da auch mal kurz reingeschaut. Der Such-Endpunkt ist mit CSRF Token und Cookies gesichert. Bei meinen Testanfragen kam bei der Suche leider immer ein 500 - internal server error zurück.

Ich hab allerdings auch wenig Erfahrung im reproduzieren von CSRF gesicherten Frontend->Backend requests.

Falls mir da wer hilft, kann ich gerne den OpenAPI Teil übernehmen.

berend avatar Aug 09 '21 14:08 berend

Ich hab folgendes mit dem mitmproxy und der App herausgefunden:

  • Es gibt einen Endpunkt der grundsätzlich mal die Infos für die App rausrückt: https://www.bundesregierung.de/service/navigation/breg-de/pushcategories
    • unter topicList gibt es eine Liste der Facetten mit der die Suche aufgerufen werden kann
    • da kommt zwar nur HTML raus, aber generell kann man dann eine Suche folgendermaßen zusammenbauen:
      • {{ searchUrl }}?f=
        • und topics immer einzeln als {{ facetId }}:{{ topicList.*.topicID }} mit einem -- als Delimiter
      • Beispiel: https://www.bundesregierung.de/breg-de/suche/992800-992800?f=992790:1002782 (Topic: Test (Push))

Mit dem CSRF hab ich auch ein bisschen rumgespielt:

  • Token bekommt man über https://www.bundesregierung.de/service/csrf
  • Hat man noch keinen passenden Session-Cookie dann wird einer über Set-Cookie gesetzt als CM_SESSIONID
  • Mit den zwei Punkten zusammen müsste man dann auch die Suchschnittstelle ansprechen können, ich komm aktuell nur die ganze Zeit vor einen Security-Screen, weiß aber nicht was die Seite von mir erwartet, dass ich nicht als "automatisiertes" Request erkannt werde. (UA/Host/Referer-Spielereien haben mich vorerst nicht weitergebracht)

pixeldesu avatar Aug 09 '21 18:08 pixeldesu