云真机-一键抓包的问题解决

最新推荐文章于 2023-10-19 15:50:35 发布
最新推荐文章于 2023-10-19 15:50:35 发布
阅读量2.3k 收藏 1
点赞数 1
分类专栏: 云真机 文章标签: mitmproxy 云真机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq744746842/article/details/120835734
版权

最近我们的云真机平台需要对标岩鼠,新增抓包的功能,所以专门去看了下岩鼠的抓包页面, 发现是通过mitproxy来做iframe嵌套实现的。那我们也可以借用mitproxy来解决我们的问题了。

问题1

本以为事情会很顺利,所以我们先尝试做demo的时候,本地先启动了一个mitproxy的服务,由于我们是需要有web的页面的, 所以我们的启动命令是:

# web-host跟上的是本机的ip地址
mitmweb --web-port 10000 --no-web-open-browser -p 20000 --web-host 192.168.31.252

在这里插入图片描述

直接访问链接是可以正常访问的。但是我们将这个页面以iframe的形式嵌入到我们自己的网站上的时候,结果确不是我们想要看到的。

在这里插入图片描述

在这里插入图片描述

页面并没有正常的加载出来,而通过控制台,我们发现出现了这样的一个错误提示信息。

通过谷歌得到了这样子的信息 X-Frame-Options

X-Frame-Options 有三个可能的值:

X-Frame-Options: deny
X-Frame-Options: sameorigin
X-Frame-Options: allow-from https://example.com/

换一句话说,如果设置为 deny,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为sameorigin,那么页面就可以在同域名页面的 frame 中嵌套。

**deny表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。sameorigin表示该页面可以在相同域名页面的 frame 中展示。allow-from *uri***表示该页面可以在指定来源的 frame 中展示

通过上述的内容,我们大致能够猜测出来,是由于mitmweb的header中设置了deny的结果,不过这个是我们的猜测而已,所以我们还是需要具体确认下才知道。

app.py

def set_default_headers(self):
    super().set_default_headers()
    self.set_header("Server", version.MITMPROXY)
    self.set_header("X-Frame-Options", "DENY")
    self.add_header("X-XSS-Protection", "1; mode=block")
    self.add_header("X-Content-Type-Options", "nosniff")
    self.add_header(
        "Content-Security-Policy",
        "default-src 'self'; "
        "connect-src 'self' ws:; "
        "style-src   'self' 'unsafe-inline'"
    )

我们可以看到确实在header中添加了这样子的一个deny的情况。所以要解决这个问题我们只能够修改源码来进行解决了。

页面已经可以正常打开了

在这里插入图片描述

问题2

本以为下来就不会有问题了,结果我们操作web上面的一些按钮后,界面均没有任何的响应,通过抓包发现这样子的结果。均为403的状态。

在这里插入图片描述

通过后台的日志我们看到这样子的一个日志信息

WARNING:tornado.general:403 PUT /options (192.168.31.252): XSRF cookie does not match POST argument

看来是嵌套的iframe还进行了xsrf的一些认证了。但是我们知道最新的chrome的版本禁止了内嵌iframe的cookie的传递,所以如果要根本上解决这个问题就比较困难了,所以还是去掉xsrf的认证是最靠谱的了。

所以我们找到了这样子的一个开关

app.py

def __init__(self, master: "mitmproxy.tools.web.master.WebMaster", debug: bool) -> None:
    self.master = master
    super().__init__(
        default_host="dns-rebind-protection",
        template_path=os.path.join(os.path.dirname(__file__), "templates"),
        static_path=os.path.join(os.path.dirname(__file__), "static"),
        xsrf_cookies=True,
        cookie_secret=os.urandom(256),
        debug=debug,
        autoreload=False,
    )
    ....

所以这里我们只要xsrf_coookies不启用即可了。

至此 所有的问题都得到了解决了。

saii
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Python 自动办公- 一键抓出PPT中的所有文字 Python源码
10-18
Python 自动办公- 一键抓出PPT中的所有文字 Python源码Python 自动办公- 一键抓出PPT中的所有文字 Python源码Python 自动办公- 一键抓出PPT中的所有文字 Python源码Python 自动办公- 一键抓出PPT中的所有文字 Python源码Python 自动办公- 一键抓出PPT中的所有文字 Python源码Python 自动办公- 一键抓出PPT中的所有文字 Python源码
超强功能WebSSH安装,解决Web远程SSH终端
鳄鱼儿
11-11 6663
一个简单的 Web 应用程序,用作 ssh 客户端以连接到您的 ssh 服务器。它是用 Python 编写的,基于 tornado、paramiko 和 xterm.js。
jupyter notebook xsrf问题
weixin_46258854的博客
06-17 1487
在cmd登入jupyter notebook 出现 ‘_xsrfargument missing from POST 红箭头指的url 复制粘贴到浏览器打开 问题暂时解决 每次登陆都要粘一回
Python源码-一键抓出PPT中的所有文字
10-28
Python源码_一键抓出PPT中的所有文字,特定场景下非常好用,懂的都懂
python-自动化篇-办公-一键抓出文档所有文字
02-06
python-自动化篇-办公-一键抓出文档所有文字
notebook报错XSRF cookie does not match POST argument
weixin_44162814的博客
10-19 386
2.通过vscode中弹出的在浏览器中打开即可。
帮我看看这是什么代码
Sapphire521的博客
06-30 504
from django.urls import path from . import views from apps.message.views import TipView urlpatterns = [ path('tip/', TipView.as_view(), name='tip'), path('receive/', views.receive_message, name='receive'), ]from django.shortcuts import render, Http
如何正确注册Tushare
Bro_Bear的博客
02-17 4194
如何正确注册Tushare 首先介绍一下Tushare “Tushare是一个免费、开源的python财经数据接口包。主要实现对股票等金融数据从数据采集、清洗加工 到 数据存储的过程,能够为金融分析人员提供快速、整洁、和多样的便于分析的数据,为他们在数据获取方面极大地减轻工作量,使他们更加专注于策略和模型的研究与实现上。考虑到Python pandas包在金融量化分析中体现出的优势,Tushare返回的绝大部分的数据格式都是pandas DataFrame类型,非常便于用pandas/NumPy/Matpl
云手机SOCKS5抓包策略
花臂不花Home
06-08 1140
VPN 软件一般支持 SOCKS5 代理协议,而“中间人”抓包软件往往也支持 SOCKS5 代理服务。结合这两个特性,可以实现的抓包拓扑为:目标 App 的通信通过 VPN 通道转发到本地代理客户端,由本地代理客户端转发流量到代理服务器上,该代理服务器实际是抓包软件,再由抓包软件把请求转发到目标应用服务器上。
'_xsrf' argument missing from POST解决方法
Asckw的博客
04-19 1万+
前言 在本地使用 jupyter notebook 超过一定时间之后(本人运行了12个小时),jupyter 停止了自动保存,并且如果手动点保存或者按Ctrl+S 会显示 ”’_xsrfargument missing from POST”。 在cmd中也会显示 百度了许久,方法也都不适用。经过谷歌后,找到了一种解决方法,先将这种方法记录在这里,防止以后忘记。 解决方法 在同一内核上打开另一...
基于python自动办公-一键抓出PPT中的所有文字
04-01
基于python自动办公-一键抓出PPT中的所有文字
python 自动办公- 一键抓出PPT中的所有文字.zip
02-06
python 自动办公- 一键抓出PPT中的所有文字
Tornado: 2. 源码分析 (3)
小蚂蚁的专栏
11-01 2742
转载出自:http://www.rainsts.net/article.asp?id=1013 3. RequestHandler 这是我们使用 Tornado 打交道最多的一个类了。 class RequestHandler(object): """Subclass this class and define get() or post() to make a handle
xsrf form html,tornado开启了xsrf_cookies,在ckeditor中上传文件如何传入xsrf_form_html()?...
weixin_39966020的博客
06-25 128
tornado在setting中设置了”xsrf_cookies” : True,则需要在表单中添加{% module xsrf_form_html() %}。但ckeditor如何传xsrf_cookies这个值,每次上传图片都显示’_xsrfargument missing from POST。如果把”xsrf_cookies”设置为False则上传成功。下面是上传的代码class cku...
tornado利用check_xsrf_cookie()防止XSRF
蒋狗的博客
04-06 3343
tornado利用check_xsrf_cookie()防止XSRF
python tornado下的csrf怎么玩?
要不,单步调试走起?
10-17 1927
python tornado下的csrf怎么玩?简单探索下源码...
Docker启动minio时报错
weixin_41950689的博客
09-18 7011
ERROR Unable to initialize backend: format.json file: expected format-type: fs, found: xl
uni-app 173小程序端兼容处理
热门推荐
ab的博客
12-22 2万+
/common/free-icon.css /* @font-face {font-family: "iconfont"; src:url('/static/font_1365296_2ijcbdrmsg.ttf') format('truetype') } */ @font-face {font-family: "iconfont"; src:url('data:application/x-font-woff2;charset=utf-8;base64,d09GMgABAAAAACNcAAsAAA
高级色系PPT11.pptx
最新发布
05-08
高级色系PPT11.pptx
tcpdump - 安卓抓包
11-01
tcpdump是一款在Linux下非常流行的抓包工具,它可以捕获网络数据包并将其输出到控制台或文件中。在安卓系统中,我们可以通过adb命令将tcpdump工具导入到设备中,并在命令行中使用它来进行抓包操作。具体步骤如下: 1. 在PC端打开命令行窗口,使用adb connect命令连接到目标设备。 2. 将tcpdump文件导入到设备中,可以使用adb push命令将本地的tcpdump文件推送到设备的指定目录中。 3. 在设备的命令行中使用tcpdump命令进行抓包操作,可以通过一些参数来指定抓包的条件和输出方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值