我正在与提琴手的HTTP请求玩了一下。 基本上该网站是我的路由器接口,要求输入密码。 然后加密密码(使用我具有某种功能的品牌MD5的功能)并传递到POST请求正文中的服务器。提琴手请求与浏览器请求,从服务器相同,但不同的答案
这里我做了什么:
- 使用Fiddler我嗅到了浏览器的GET请求(有一个重定向302)
- 使用Fiddler我嗅了嗅服务器响应
- 使用Fiddler我闻了闻浏览器POST请求
- 浏览器成功登录(输入密码后)
然后:
- 随着提琴手作曲家我执行一个GET请求等于一个嗅探。 (得到重定向302)
- 随着小提琴手我嗅探了服务器的响应(每次站点向客户端提供不同的Set-Cookie值,用于抗XRSF攻击的品牌MD5功能)。
- 由于新的Set-Cookie值,我使用不同的主体内容重现了嗅探的POST请求。
发布请求的正文确实是正确的,因为它是由浏览器使用的非常相同的函数计算得出的。
现在怎么来到我的脑海:
- 我使用了错误的Set-Cookie值 - >不可能的,因为如果我试图猜测一个浏览器请求的主体内容与可用的参数,猜测结果是正确的。
- 由fiddler执行的重定向是在没有Set-Cookie的情况下完成的,或者使用不同的方法完成 - >我看到我可以决定不遵循重定向,有没有办法在重定向期间决定在头中传递什么?我会更直接地测试重定向的url。
问候,
你有没有“嗅过”不止一个成功的请求,并比较它们?路由器可能会为每个登录页面发送一个不同的(隐藏)值,并期望返回该值。 – AdrianHHH
10/10是完美的。代码清晰,你不能误会。 难道是由于CF或LF? 我的意思是,当我使用小提琴手的RAW选项卡时,它显示的是确切的数据,还是编码像换行符和载体返回的东西? 我在人体中手动编码像+,/,=这样的符号,但也许新行不会自动生成? – user217354
@AdrianHHH忘了提你 – user217354