登完了教务处,就试试登陆别的吧,这次选择的是扇贝单词的网页版,貌似是用djando搭建的。
用chrome的开发者工具先观察一下登陆的过程,可以发现post表单的内容还是比较简单的,就是自己的用户名密码,还有一个csrftoken的东东,虽然不知道是啥,至少用户名密码没有进行加密处理一切就好办了。
顺便学习一下什么是csrf。
CSRF(Cross-site request forgery)跨站请求伪造,由于目标站无token/referer限制,导致攻击者可以用户的身份完成操作达到各种目的。
不明觉厉。。
多登陆了几次发现这个csrf值是会变每次随机生成的,大概也是为了安全吧,那么怎么获得呢。再次分析一下登陆过程,发现中未登陆前的cookie里会有一个csrf值,和登陆后post表单里的值是一样的,大概就是服务器先随机生成一个token,跟随用户信息一起提交的时候检测是否一致,一致了才产生一个session登陆成功,防止别人盗用这个身份进行攻击,多了一道防御吧。。那么既然如此我们就从cookie中拿出csrf跟随表单一起提交就可以了。
登陆过程还遇到了两个问题,一开始总是登陆超时,是因为Content-Length这个头部,注释掉就好了,后来爬下来的信息出现编码问题,'Accept-Encoding' : 'gzip, deflate'这个头部注释掉也就好了。具体原因我还说不太清楚&
最低0.47元/天 解锁文章
3205
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
