偽造的HTTP發布請求-ViewState
[英]fake http post request - viewstate
問題描述
我試圖偽造對使用c#編程的站點的發布請求。 我使用WireShark嗅探計算機和服務器之間的通信。
我注意到客戶端發送了viewstate數據(在Base64中編碼),我想知道如何在請求中偽造它。
我的郵政編碼
public static void sendPostRequest(string responseUri,CookieCollection responseCookies)
{
HttpWebRequest mPostRequest =
(HttpWebRequest)WebRequest.Create("http://tickets.cinema-city.co.il/webtixsnetglilot/SelectSeatPage2.aspx?dtticks=" + responseUri + "&hideBackButton=1");
mPostRequest.UserAgent = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.95 Safari/537.36";
mPostRequest.KeepAlive = false;
mPostRequest.Method = "Post";
mPostRequest.ContentType = "application/x-www-form-urlencoded";
CookieContainer mCookies= new CookieContainer();
foreach (Cookie cookie in responseCookies)
{
mCookies.Add(cookie);
}
mPostRequest.CookieContainer = mCookies;
HttpWebResponse myHttpWebResponse2 = (HttpWebResponse)mPostRequest.GetResponse();
}
1 個解決方案
解決方案1
0 2013-08-04 19:03:45
如果您可以“偽造”經過簽名/加密的數據,那么您實際上就不需要處理虛假帖子-只需竊取所有SSL流量即可:)。
視圖狀態來自已加密頁面的原始響應-因此,您只需要解析原始響應(使用Html Agility Pack)並在發布請求中將該視圖狀態發送回去。
如何在不為ASP.NET提供__VIEWSTATE和__EVENTVALIDATION的同時發布到HTTP端點?
[英]How can I post to a HTTP endpoint while not providing the __VIEWSTATE and __EVENTVALIDATION for ASP.NET?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.