web服务验证事件合法请求,使用到了__VIEWSTATE、__EVENTVALIDATION、cookie来验证

最新推荐文章于 2022-10-07 15:05:33 发布
最新推荐文章于 2022-10-07 15:05:33 发布
阅读量1.9k 收藏 5
点赞数 1
分类专栏: 接口测试 web服务器 文章标签: 接口测试 web验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010244522/article/details/79444428
版权

__VIEWSTATE
ViewState是ASP.NET中用来保存WEB控件回传时状态值一种机制。在WEB窗体(FORM)的设置为runat="server",这个窗体(FORM)会被附加一个隐藏的属性_VIEWSTATE。_VIEWSTATE中存放了所有控件在ViewState中的状态值。 
ViewState是类Control中的一个域,其他所有控件通过继承Control来获得了ViewState功能。它的类型是system.Web.UI.StateBag,一个名称/值的对象集合。 
当请求某个页面时,ASP.NET把所有控件的状态序列化成一个字符串,然后做为窗体的隐藏属性送到客户端。当客户端把页面回传时,ASP.NET分析回传的窗体属性,并赋给控件对应的值

__EVENTVALIDATION
__EVENTVALIDATION只是用来验证事件是否从合法的页面发送,只是一个数字签名,所以一般很短。
“id”属性为“__EVENTVALIDATION”的隐藏字段是ASP.NET 2.0的新增的安全措施。该功能可以阻止由潜在的恶意用户从浏览器端发送的未经授权的请求.
为了确保每个回发和回调事件来自于所期望的用户界面元素,ASP.NET运行库将在事件中添加额外的验证层。服务器端通过检验表单提交请求的内容,将其与“id”属性为“__EVENTVALIDATION”隐藏字段中的信息进行匹配。根据匹配结果来验证未在浏览器端添加额外的输入字段(有可能为用户在浏览器端恶意添加的字段),并且该值是在服务器已知的列表中选择的。ASP.NET运行库将在生成期间创建事件验证字段,而这是最不可能获取该信息的时刻。像视图状态一样,事件验证字段包含散列值以防止发生浏览器端篡改。
说明:“id”属性为“__EVENTVALIDATION”隐藏字段一般在表单的最下方,如果表单在浏览器端尚未解析完毕时,用户提交数据有可能导致验证失败。

于是关键的关键是获取这两个值。

运用正则,在爬取之前先open一次url获取值,然后在第二次爬取的时候把这个值传进post参数里面

#coding:utf-8
import requests
import re

url1 = "http://wx.ismartgo.com/sso/Login.aspx?code=f8a56609c3b44693aa7f655600cc280c&appid=op"#获取参数网址
url2 = "http://wx.ismartgo.com/sso/Login.aspx?code=0ecd89621b924c49b224ba39712a47ff&appid=op"#账号密码登录接口
#使用正则从url1获取以下参数
r1 = requests.get(url1)
r1txt = r1.text
VIEWSTATE =re.findall(r'id="__VIEWSTATE" value="(.*?)" />', r1txt,re.I)
EVENTVALIDATION =re.findall(r'id="__EVENTVALIDATION" value="(.*?)" />', r1txt,re.I)

#url2请求头,请求body
header = {
    "Connection": "keep-alive",
    "Content-Length": "411",
    "Cache-Control": "max-age=0",
    "Origin": "http://wx.ismartgo.com",
    "Upgrade-Insecure-Requests": "1",
    "User-Agent": "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.82 Safari/537.36",
    "Content-Type": "application/x-www-form-urlencoded",
    "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8",
    "Referer": "http://wx.ismartgo.com/sso/Login.aspx?code=4c8b7a50534346ba9c5b40b5a32642d1&appid=op",
    "Accept-Encoding": "gzip, deflate",
    "Accept-Language": "zh-CN,zh;q=0.8",
    "Cookie": "ASP.NET_SessionId=sd1vav45ejfiew452sknthu3; sso_oauth_user=user=&md5=D41D8CD98F00B204E9800998ECF8427E"
}
data = {
    "txtLoginName": "***",
    "txtPassword": "****",
  #使用url1获取的参数
    "__VIEWSTATE": VIEWSTATE, 
     "__EVENTVALIDATION": EVENTVALIDATION,

    "chkKeepLogin": "on",
    "btnLogin": "%E7%99%BB%E5%BD%95"
}
r = requests.post(url2,headers=header,data=data)

print("状态码",r.status_code)
print(r.headers)
print(r.text)
bluelikk
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
爬虫时遇到__VIEWSTATE和__EVENTVALIDATION传值并爬取分页按条件查询后的数据
zhaoziyun007的博客
04-15 3587
最近初学了python爬虫,在爬取一个网站时遇到了__VIEWSTATE和__EVENTVALIDATION这几个参数导致分页和按条件查询获取不到数据。网上大部分能搜到的解决方式都是先用get或者post方法请求一次,并且通过正则或者其他方式获取到页面上的这两个数据,然后带入Post请求进行传参,这种方法并没用问题,但针对我所爬取的这个网站有两个踩坑的地方。 一、第一次请求时基本是不带任何参数的,...
【奇怪现象】用联通访问某些ASP.NET网站会产生__EVENTVALIDATION字段,用电信却只有:__VIEWSTATE。【正常】?原因?...
weixin_30328063的博客
10-02 184
【奇怪现象】用联通访问某些ASP.NET网站会产生__EVENTVALIDATION字段,用电信却只有:__VIEWSTATE。【正常】?原因?对于__VIEWSTATE和__EVENTVALIDATION大家应该很熟悉了。__VIEWSTATEViewState是ASP.NET中用来保存WEB控件回传时状态值一种机制。在WEB窗体(FORM)的设置为runat="server",这个窗体(FOR...
Python的scrapy框架POST方式爬虫时碰见__VIEWSTATE和__EVENTVALIDATION的参数处理
Mogul的博客
12-10 3149
1.目标网站 2.碰见__VIEWSTATE和__EVENTVALIDATION的参数 3.参数解释以及必要性 4.详解__EVENTTARGET的参数值对应不同的思路 4.1. 第一种,点击下一页的方式,PageNavigator1$LnkBtnNext 4.2 第二种,点击跳转的方式,PageNavigator1$LnkBtnGoto 5.分析__VIEWSTATE和__EVENTVALIDATION这两个参数 6.全部代码 6.1 使用点击下一页的方式 运行结果: 6.2 使用点.
VIEWSTATEEVENTVALIDATION
文山
11-22 3207
郁闷,   VIEWSTATEEVENTVALIDATION 关联这2个字段,一段时间后就会出错,为什么呢? web_submit_data("list.aspx_2",         "Action=http://192.168.100.213:8080/admin/soft/list.aspx?rand=0.6206495039176265&isGroup=1",
__EVENTVALIDATION作用
liuyz2006的专栏
03-13 4212
__VIEWSTATE,是存放ViewState信息的,页面上的Control越复杂,它们各自存放的ViewState越多,value就越长。__EVENTVALIDATION只是用来验证事件是否从合法的页面发送,只是一个数字签名,所以一般很短。 “id”属性为“__EVENTVALIDATION”的隐藏字段是ASP.NET 2.0的新增的安全措施。该功能可以阻止由潜在的恶意用户从浏览器端发送的未经授权的请求.<br /><br />为了确保每个回发和回调事件来自于所期望的用户界面元素,ASP.NET运行库
【python百度智能云】:Python — 三种获取__VIEWSTATE、__VIEWSTATEGENERATOR、__EVENTVALIDATION方法。
最新发布
嵌入式up
10-07 830
以上方法亲测有效,具体需要大家自己摸索一下,根据自己获取的网页代码从而进行更改,xpath方法如何获取请大家自行百度,有很多大牛写的挺不错!正则表达式也是!
vb.net_web_programming.rar_The Web
09-14
4. **网页生命周期**:讲解网页从请求到响应的完整生命周期,以及在此过程中可以执行的事件和操作。 5. **数据访问**:包括如何使用ADO.NET或者Entity Framework与SQL Server等数据库进行交互,进行CRUD操作。 6. **...
ASP-programming.rar_WEB开发_Windows_Unix_
08-12
4. **状态管理**:讨论如何在ASP中保存用户状态,包括ViewState、Session和Cookie。 5. **数据库访问**:可能会涉及ADO.NET(ActiveX Data Objects .NET)或Entity Framework,讲解如何连接和操作SQL Server或其他...
Application,_Session,_Cookie,_Viewstate,_Cache对象用法和区别
03-01
Application,_Session,_Cookie,_Viewstate,_Cache对象用法和区别.pdf
FineUI_v3.2.0_source_all.zip_extjs 6_fineui_opera_web UI CSHARP
09-19
FineUI 是为了创建没有 JavaScript,没有 CSS,没有 UpdatePanel,没有 ViewState,没有 WebServices 的网站应用程序。 支持的浏览器: IE 7.0+、Firefox 3.6+、Chrome 3.0+、Opera 10.5+、Safari 3.0+ 授权协议...
ASP.NET_Application,Session,CookieViewState等对象用法和区别
08-28
ASP.NET 是一个强大的 web 应用程序开发框架,其中包含了多种内置对象,用于在不同的场景下存储和管理数据。在 ASP.NET 中,Application、Session、CookieViewState 是四种常见的对象,每种都有其特定的用途和...
__EVENTVALIDATION
java开发指南博客 【转载】
08-29 866
“id”属性为“__EVENTVALIDATION”的隐藏字段是ASP.NET 2.0的新增的安全措施。该功能可以阻止由潜在的恶意用户从浏览器端发送的未经授权的请求. 为了确保每个回发和回调事件来自于所期望的用户界面元素,ASP.NET运行库将在事件中添加额外的验证层。服务器端通过检验表单提交请求的内容,将其与“id”属性为“__EVENTVALIDATION”隐藏字段中的信息进行匹配。根据匹配...
asp.net 中 viewstate 反序列化攻击 学习记录
qq_41891666的博客
07-13 5777
0x00 前言 asp.net 平时接触得少,ctf 中也比较少遇到,之前对他的了解也只限于对 c# 语言的一些简单学习。然后这次在 buu 上面遇到 一道 [BJDCTF 2nd]EasyAspDotNet 题,然后在看wp 的时候,又碰巧了解到 HITCON CTF 2018 - Why so Serials? 和这题差不到,都是利用了viewstate 反序列化来做;然后在查资料的时候,又发现 CVE-2020-0688 exchange远程代码执行漏洞 也是利用viewstate 反序列化漏洞。
ASP页面隐藏参数__EVENTVALIDATION获取
NQ31
07-15 821
1、__doPostBack(eventTarget, eventArgument)方法: # 参数 evenntTarget # 要调用服务器控件生成的name熟悉 ''' 参数:ctl00$ContentPlaceHolder1$AspNetPager1,可以拆分如下, id为 ctl00的父控件 id为 ContentPlaceHolder1的子控件 id为 AspNetPager1 的子控件 即:父控件$子控件 或者 父控件:子控件 .
BeanShell获取VIEWSTATEEVENTVALIDATION
supermc123的博客
11-11 572
BeanShell获取VIEWSTATEEVENTVALIDATION
回发或回调参数无效。在配置中使用 <pages enableEventValidation="true"/> 或在页面中使用 <%@ Page EnableEventValidation="true"...
weixin_30814319的博客
07-12 540
(转) 回发或回调参数无效。在配置中使用 <pages enableEventValidation="true"/> 或在页面中使用 <%@ Page EnableEventValidation="true" %> 启用了事件验证。出于安全目的,此功能验证回发或回 调事件的参数是否来源于最初呈现这些事件的服务器控件。如果数据有效并且是预期的,则使用 Clie...
LoadRunner的-26612报错解决过程(关联错误)
热门推荐
小马哒哒哒
09-15 1万+
1、LoadRunner报-26612错误HTTP Status-Code=500 (Internal Server Error) 2、查看服务器日志确定问题原因为需要关联的viewstateEVENTVALIDATION语句没有关联 3、关联后出现找不到该参数问题的解决过程
python代码可以内嵌在asp文件中_内嵌PDF-vi的Python抓取ASP网站
weixin_33277412的博客
02-20 170
在这里的第一个帖子,任何帮助将不胜感激:)。我试着从一个嵌入了pdf浏览器的网站上抓取。据我所知,没有办法直接下载PDF文件。在浏览器将pdf显示为多个PNG图像文件,问题是PNG文件也不能直接访问。它们将从原始pdf渲染,然后显示出来。在去掉标题的URL在代码块中。在pdf查看器的原始URL(我使用第二个URL)和呈现pdf的链接都包含在代码中。在我的策略是使用urllib获取viewstate...
第三章Web服务器控件.ppt:ASP.NET页面开发与事件处理程序详解
此外,我们还了解了如何使用ViewState来保存控件的状态值,以及如何利用ASP.NET代码隐藏文件来管理代码逻辑。这些知识和技能对于我们构建高效、可维护的Web应用程序至关重要。希望大家能够深入理解,并在实践中加以...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值