當我登入和登出特定網站時:https://worldcat.authn.worldcat.org/login/managementuser-ui/cmnd/useraction/login?acsURL=https%3A%2F%2Fauthn.sd00.worldcat.org%2Fwayf%2Fmetaauth-ui%2Fcmnd%2Fprotocol% 2Facs%2Fsaml2&controllerMethod=samlpost(這是 oclc.org/developer 的登入頁面),這是 HTTP 請求的序列:
登入:
我正在使用查爾斯代理。
我沒有看到我的登入資訊被傳遞。我看到在每次登入/登出結束時,都會使用實體主體中的一堆垃圾字元發出 POST 請求。例如,這是來自登入的 POST 請求:
POST / HTTP/1.1
Host: ocsp.digicert.com
User-Agent: ocspd/1.0
Content-Length: 88
Content-Type: application/ocsp-request
Connection: close
0V0T �0M0K0I0 +�_¦zµ'5ÎC£Ç
a1aÕ/(çF8´,áÆÙâ6
¥Þ$QèÖ~èÏ
我正在嘗試了解這項技術是如何運作的。如果我的登入資訊未在 HTTP 請求中傳遞或未偵測到,為什麼以及它如何到達伺服器?
答案1
您正在登入 HTTPS 網站,這表示通訊是加密的。您正在尋找的請求實際上是 CONNECT 請求之一,但您將無法透過這種方式看到其內容。
您需要配置 Charles 代理中間人攻擊您的 HTTPS 連接。這將使 Charles 代理程式解密您的瀏覽器發送的內容以將其顯示給您,然後重新加密並將其發送到原始網站。請注意,正如我連結的頁面上提到的,除非您將 Charles CA 憑證新增為受信任,否則瀏覽器中將顯示警告。
您看到的 POST 請求實際上是由 HTTPS 引起的。您的瀏覽器正在聯絡頒發網站憑證的 CA,詢問該憑證是否仍然有效。如果您想了解所顯示的 POST 請求,您應該閱讀OCSP並且可能會找到 ASN.1 解碼器,因為這是請求正文的格式。