特定の Web サイトにログインおよびログアウトする場合:https://worldcat.authn.worldcat.org/login/manageduser-ui/cmnd/useraction/login?acsURL=https%3A%2F%2Fauthn.sd00.worldcat.org%2Fwayf%2Fmetaauth-ui%2Fcmnd%2Fprotocol%2Facs%2Fsaml2&controllerMethod=samlpost(oclc.org/developer のログイン ページです)、HTTP リクエストのシーケンスは次のとおりです。
ログインの場合:
Charles Proxyを使用しています。
ログイン情報が渡されていないようです。また、各ログイン/ログアウトの最後に、エンティティ本体に大量の意味不明な文字を含む POST リクエストが行われているのがわかります。たとえば、これはログインからの POST リクエストです。
POST / HTTP/1.1
Host: ocsp.digicert.com
User-Agent: ocspd/1.0
Content-Length: 88
Content-Type: application/ocsp-request
Connection: close
0V0T �0M0K0I0 +�_¦zµ'5ÎC£Ç
a1aÕ/(çF8´,áÆÙâ6
¥Þ$QèÖ~èÏ
このテクノロジーがどのように機能するかを理解しようとしています。ログイン情報が HTTP リクエストで渡されない、または検出されない場合、その理由は何でしょうか。また、他にどのような方法でサーバーに到達できるのでしょうか。
答え1
HTTPS Web サイトにログインしています。つまり、通信は暗号化されています。探しているリクエストは実際には CONNECT リクエストの 1 つですが、この方法ではその内容を確認することはできません。
Charlesプロキシを設定する必要がありますHTTPS接続の中間者攻撃これにより、Charles プロキシはブラウザが送信するコンテンツを復号化して表示し、その後、再度暗号化して元のサイトに送信します。リンク先のページに記載されているように、Charles CA 証明書を信頼できるものとして追加しない限り、ブラウザに警告が表示されることに注意してください。
あなたが見ているPOSTリクエストは、実際にはHTTPSによるものです。ブラウザは、ウェブサイトの証明書を発行したCAに連絡して、証明書がまだ有効かどうかを尋ねています。あなたが示したPOSTリクエストを理解したい場合は、以下を読んでください。OCSPリクエスト本体の形式は ASN.1 なので、おそらく ASN.1 デコーダーが見つかるでしょう。