如何使用Socket自動登陸Web服務(wù)器

quxianyang

我現(xiàn)在想利用Socket自動登陸一個Web服務(wù)器，現(xiàn)在已經(jīng)能夠獲取到JSESSIONID，但是不知道怎么才能在請求中加入用戶名和密碼。
由于這個服務(wù)器是HTTPS的，我用截報文的方法看到的都是密文，不知道具體的HTTP請求是什么樣子的？
就是該以什么形式把用戶名和密碼放進請求中呢？

Cyberman.Wu

沒完全明白你的意思，你是要傳一個表單中的用戶名密碼數(shù)據(jù)，還是SESSION？你說的JRESESSION是JSP中的嗎？這個不是很清楚，但我以前抓包分析過PHP和ASP的，現(xiàn)在久了記不清楚了，但大概記得它是用Cookie實現(xiàn)的，只是瀏覽器不保存而已，屬于一種臨時性的Cookie。

傳表單數(shù)據(jù)的話，要在HTTP頭的\r\n的空行之后附加，具體的格式你查一下RFC，或自己抓包看一下就知道了，當(dāng)然最前面得是POST。如果是GET請求傳直接附加到GET的網(wǎng)頁后面用?xx=yy來傳。

至于SSL，你就不能直接用普通socket傳了，需要連接一個SSL庫（應(yīng)該是要用這個庫里面的函數(shù)來處理網(wǎng)絡(luò)操作，這個我還沒用過，給不了你太具體建議），而你在應(yīng)用層中填寫的數(shù)據(jù)還是標(biāo)準(zhǔn)的明文HTTP數(shù)據(jù)，收到的也是。

quxianyang

那個JSESSIONID是我向服務(wù)器提交一個GET請求后獲得的響應(yīng)中帶有的東西，就是這樣的：
Set-Cookie:JSESSIONID=B928E3CBFEABBA8264E962964642CFED；

我是使用的openssl庫做的，就是把普通的socket綁定到一個SSL對象上，就可以實現(xiàn)加密傳輸了。
在GET到頁面以后，這個頁面上有一個表單，我需要填寫。
我想通過抓包的方式看看使用瀏覽器與服務(wù)器通信時的報文是什么樣子的，但是得到的都是一些加密后的東西，完全看不懂

Cyberman.Wu

抓包工具有些好像也可以分析SSL，只要把key給它，不過這種功能我沒用過。

Set-cookie是在頭部的，不過表單是在HTML文本中的，你要根據(jù)<form><input ...>...</form>來分析。如果是固定的，就處理這一個頁面，實際上你直接生成提交的POST請求即可；如果只需要這個Cookie，你把Cookie值分析出來POST的時候帶上去就是了。如果要學(xué)習(xí)POST是如何發(fā)數(shù)據(jù)的，則可以找一個明文的網(wǎng)站抓包看一下就可以了，很簡單的。

[ 本帖最后由 Cyberman.Wu 于 2009-2-22 23:59 編輯 ]