信用项目的测量,从登录页到首页业务,系统只支持ie,不支持其他,所以用f12抓包
抓住登录嫌疑的都是get请求,用户信息如何到达服务器? 为什么这么说,是因为通常为了开机自检而将表单提交到后台
仔细检查所有请求,也找不到请求中的用户信息
第一个怀疑是f12开发者工具错过了请求信息
我用Wireshark抓住了所有量的包
由于第一个项目组只提供域名,因此ping域名获取了支持ip、ip.addr http过滤的软件包
过滤后,还是发现开机自检请求,包含用户信息,跟踪流信息
cookie提交的用户信息在f12中只有请求报头的cookie,并且是get,主体被泄露
然后,它发现将此信息直接复制到后期主体仍然不可用,并返回未登录,以查看详细的请求信息是否对此请求有问题
在Wireshark上再次显示请求
此请求数据以form item格式提交
在开机自检中按key values分开提交,提交成功
由于以前是基于流信息中的所有请求数据用一个密钥提交的,因此服务可能无法识别/,这些前端的转义字符