python接口自动化案例_python接口自动化12-案例分析(csrfToken)【转载】

最新推荐文章于 2024-04-15 12:00:26 发布
最新推荐文章于 2024-04-15 12:00:26 发布
阅读量110 收藏
点赞数
文章标签: python接口自动化案例

前言:

有些网站的登录方式跟前面讲的博客园和token登录会不一样,把csrfToken放到cookie里,登录前后cookie是没有任何变化的,这种情况下如何绕过前端的验证码登录呢?

一、登录前后对比

1.如果登录页面有图形验证码,这种我们一般都是绕过登录的方式,如下图通过抓包分析,首先不输入密码,抓包

(由于这个是别人公司内部网站,所以网址不能公开,仅提供解决问题的思路)

2.在登录页面输入账号和密码手动登录后,抓包信息如下

3.抓包后cookies信息在登录前后没任何变化,这里主要有三个参数:

--businessUsername:这个是账号名称

--JSESSIONID: 这个是一串字符串,主要看这个会不会变(一般有有效期)copy出来就行

--csrfToken: 这个是一串字符串,主要看这个会不会变(一般有有效期)copy出来就行

二、get请求

1.像这种登录方式的get请求,请求头部cookie没任何变化,这种可以直接忽略登录,不用管登录过程,直接发请求就行

2.代码实现

# coding:utf-8

import requests

# 优惠券列表

url = 'http://xxx/xxx/coupon/list'

h = {

"User-Agent": "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:44.0) Gecko/20100101 Firefox/44.0",

"Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8",

"Accept-Language": "zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3",

"Accept-Encoding": "gzip, deflate",

"Cookie": "csrfToken=xxx(复制抓包的信息); JSESSIONID=xxx(复制抓包的信息); businessUsername=(用户名)",

"Connection": "keep-alive"

}

r = requests.get(url, headers=h)

print r.content

三、post请求遇到的坑

1.post请求其实也可以忽略登录的过程,直接抓包把cookie里的三个参数(businessUsername、JSESSIONID、csrfToken)加到头部也是可以的。

2.但是这里遇到一个坑:用Composer发请求,重定向回到登录页了

3.主要原因:重定向的请求,cookie参数丢失了

四、重定向

1.解决上面问题,其实很简单,把重定向禁用(具体看2.8重定向Location这篇)后的链接获取到,重新发个get请求,头部带上cookies的三个参数就行了

# coding:utf-8

import requests

# 主要是post请求后重定向,cookie丢失,所以回到登录页面了

# 解决办法,禁止重定向,获取重定向的url后,重新发重定向的url地址请求就行了

# 三个主要参数

csrfToken = '获取到的csrftoken,一般有有效期的'

jsessionId = '获取到的jsessionid'

userName = '用户名'

url = 'http://xxx/xxxx/update'

h1 = {

"User-Agent": "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0",

"Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8",

"Accept-Language": "zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3",

"Accept-Encoding": "gzip, deflate",

"Cookie": "csrfToken=%s; JSESSIONID=%s; businessUsername=%s" % (csrfToken, jsessionId, userName),

"Connection": "keep-alive",

"Content-Type": "application/x-www-form-urlencoded",

"Content-Length": "115"

}

body = {"instantMessageId":"56",

"name": u"哈哈1",

"order": "",

"csrfToken": csrfToken,

"type": "qq",

"account": "1001"}

s = requests.session()

r1 = s.post(url, headers=h1, data=body, allow_redirects=False)

print r1.status_code

# 获取重定向的url地址

redirect_url = r1.headers["Location"]

print redirect_url

h2 = {

"User-Agent": "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0",

"Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8",

"Accept-Language": "zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3",

"Accept-Encoding": "gzip, deflate",

"Cookie": "csrfToken=%s; JSESSIONID=%s; businessUsername=%s" % (csrfToken, jsessionId, userName),

"Connection": "keep-alive"

}

r2 = s.get(redirect_url, headers=h2)

print r2.content

weixin_39661345
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python csrf token_使用python请求和csrf-token登录
weixin_42509614的博客
02-09 1224
我正在使用python的请求模块尝试登录网页 . 我打开一个requests.session(),然后我得到了一个元组件中包含的cookie和csrf-token . 我使用用户名,密码,隐藏的输入字段和元标记中的csrf-token构建我的有效负载 . 之后,我使用post方法,我通过登录URL,cookie,有效负载和 Headers . 但之后我无法访问登录页面后面的页面 . 我究竟做错了...
使用python请求传递csrftoken
erfan_lang的博客
02-14 4417
如何通过python模块Requests传递csrftoken? 参考代码 import requests from bs4 import BeautifulSoup as bs import lxml # Page header head= { 'Content-Type':'application/x-www-form-urlencoded', 'User-Agent':'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHT
python+requests接口自动化测试框架实例详解_python接口自动化common(1)
2401_84254567的博客
04-15 966
没错,因为前面我们写了config.ini文件,所有的数据库配置信息都在这个文件内哦,是不是感觉很方便呢,以后就算变更数据库了,也只要修改config.ini文件的内容就可以了,结合前面测试用例的管理(excel文件),sql语句的存放(xml文件),还有接下来我们要说的,businessCommon.py和存放具体case的文件夹,那么我们就已经将数据和业务分开啦,哈哈哈,想想以后修改测试用例内容,sql语句神马的工作,再也不用每个case都修改,只要改几个固定的文件,是不是顿时开心了呢?
python csrf token_python之csrf简介
weixin_39570838的博客
12-08 339
django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。全局:中间件 django.middleware.csrf.CsrfViewMiddleware局部:@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中...
python token发送请求_通过python请求传递csrftoken
weixin_39883129的博客
12-05 324
How do you pass a csrftoken with the python module Requests? This is what I have but it's not working, and I'm not sure which parameter to pass it into (data, headers, auth...)import requestsfrom bs4...
python csrf token_使用Python CGIHTTPServer绕过注入时的CSRF Token防御
weixin_39892019的博客
12-08 217
前言CSRF tokens是服务器生成的一串随机值,其主要作用是防止表单重复提交以及请求伪造攻击。由于该生成值具有随机性,一次性,并且是基于服务器端的前一个请求生成的,因此黑客几乎不可能伪造它。Burp Suite虽说无法伪造,但并不代表我们就不能绕过它。这里,不得不提及一款web渗透神器Burp Suite。在Burp上有多种配置其使用宏来绕过HTML表单上CSRF tokens的方法,例如我们...
Python实现接口自动化测试_python实现接口自动化_triedymj_
10-02
pycharm编译环境下实现接口自动化测试
基于python接口自动化测试框架(带演示案例版)
10-26
基于python接口自动化测试框架(带演示案例版),可拓展,可添加UI自动化功能等等。
基于Python接口自动化测试实例.pdf-综合文档
05-25
基于Python接口自动化测试实例.pdf
python+requests+pytest 接口自动化框架(1-4)
06-02
python+requests+pytest 接口自动化框架 1 pytest插件,运行规则以及参数,pytest.ini配置文 件,跳过用例,用例执行顺序,夹具等 2 Fixture固件,contest.py,断言以及Allure报告生成 3 Pytest测试框架之Allure报告...
基于Python接口自动化测试框架设计源码
最新发布
05-30
本项目是基于Python接口自动化测试框架设计源码,包含61个文件,主要文件类型为py、png、ini、yml、gitignore、md和txt。该项目适用于接口自动化测试的开发和设计,为用户提供了一个丰富的资源库,包含多种文件...
python csrf token cookie_使用python请求传递csrftoken
weixin_28917337的博客
02-09 270
你如何传递一个csrftokenpython模块请求?这是我有,但它不工作,我不知道将哪个参数传递到(data,headers,auth …)import requestsfrom bs4 import BeautifulSoupURL = 'https://portal.bitcasa.com/login'client = requests.session(config={'verbose':...
python csrf token_python – CSRF令牌丢失或不正确,即使我有{%csrf_token%}
weixin_39946460的博客
12-08 355
我在我的views.py文件中引用了这个方法,我一直在收到这个错误:def AddNewUser(request):a=AMI()if(request.method == "POST"):print(request.POST)# print(request['newUser'])# print(request['password'])return render_to_response("ac/Ad...
Python如何获取csrf_token
weixin_41548578的博客
11-27 4424
前言 突然接到一个任务,将Jenkins与我们的自动化测试平台集成进来,自动化平台时基于python+django的。这就需要写一个python脚本去调用平台的runsuite接口,由Jenkins去触发。 通过Charles抓取到相应的接口后执行起来一直报403,调查后发现是由于Django平台设置的csrf_token一直在变化. 解决办法 用postman运行接口时,可以在postman的T...
python接口自动化12-案例分析(csrfToken)【转载
anbaduay633369的博客
11-10 164
前言: 有些网站的登录方式跟前面讲的博客园和token登录会不一样,把csrfToken放到cookie里,登录前后cookie是没有任何变化的,这种情况下如何绕过前端的验证码登录呢? 一、登录前后对比 1.如果登录页面有图形验证码,这种我们一般都是绕过登录的方式,如下图通过抓包分析,首先不输入密码,抓包 (由于这个是别人公司内部网站,所以网址不能公开,仅提供解决问题的思路...
【笔记】Python3|爬虫请求 CSRF-Token 时如何获取Token、Token过期、处理 CSRF-Token 需要注意的问题及示例
qq_46106285的博客
03-19 7589
注意CSRF-Token可能也在响应头中,以及requests请求的时候要用Session,不然就会过期。
python csrf token_python, Django csrf token的问题
weixin_39969881的博客
12-08 229
环境Window 7Python2.7Django1.4.1sqlite3问题在使用Django搭建好测试环境后,写了一个提交POST表单提交留言的测试页面。如图:填写表单,点击“提交留言”按钮提交到服务器,却出现Forbidden (403)CSRF verification failed. Request aborted.由于之前使用GET方式提交表单内容测试均正常,就以为这个问题估计是配置问...
python csrf token_使用python请求和csrftoken登录
weixin_39875805的博客
12-08 485
我正在使用python的requests模块尝试登录一个网页。我打开一个请求.会话(),然后我得到cookie和包含在meta标记中的csrf令牌。我使用用户名、密码、一个隐藏的输入字段和meta标记中的csrf令牌来构建我的有效负载。之后,我使用post方法并传递登录url、cookie、有效负载和头。但是在那之后,我就不能访问登录页面后面的页面了。我做错什么了?在这是我执行登录时的请求头:Re...
python简易实现的 csrf防护
he93007的博客
11-30 514
上一篇讲的是用flask-wtf这个库实现csrf防护 https://blog.csdn.net/he93007/article/details/79980956   这篇讲一下手动实现. 按业务流程来讲 1 用户发起了登录请求  {username:xxxx,passwd:xxxx}   2 后端查询数据库 用户名密码是否正确,是否存在用户   3 存在用户且密码正确,我们...
从零搭建完整python自动化测试框架(UI自动化接口自动化-持续更新.pdf
07-01
本篇文档详细介绍了如何从零开始搭建一个完整的Python自动化测试框架,重点涵盖UI自动化接口自动化两个方面。作者以Python和unittest为基础,并结合Selenium库来实现Web UI自动化,利用requests库处理接口自动化。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值