&Cookies 与保持登录
Cookies 与保持登录
视频太卡？试试切换线路
本课时介绍 Fiddler 及其使用方法，实现抓取 Http 数据包。
本课时介绍 Cookies 与新浪微博通过 Cookies 实现保持登录的机制。
本课时介绍使用 Fiddler 获取新浪微博 Cookies，然后使用 Requests 提交 Cookies 从而实现模拟登录。
本课时介绍使用 Post 提交数据的方法实现模拟登录，并定向到某个账户。
本课时介绍通过定向爬虫实时监控女神微博信息，一旦发现有新微博就通过微信提醒。
提示：在使用 Python 发邮件的时候，如果发送失败，请尝试打开邮箱的 SMTP 服务。对于新浪邮箱:在网页端登录邮箱以后，点击右上角“设置”，然后选择“客户端 /pop/imap/smtp”，并开启 “POP3/SMTP服务”，其他邮箱类似。
只有成为VIP会员才能提问&回复，快吧！如果你还没有账号你可以一个账号。
添加新技术问题
课程 [Cookies 与保持登录]
中已存在问题
添加新技术问题
问题描述越详细，被解答的速度越快
有新回答时请邮件提醒我
着急，拜托快点
不急，慢慢解决
关联课程 [Cookies 与保持登录]
正在读取中...
正在读取中...随笔 - 64&
评论 - 2237&
&&&&&&&&&&&
通过前一篇博客 【】，我们了解了Fiddler的基本用法，& 现在我们来看看Fiddler的高级用法. Fiddler Script。 & Fiddler中的script 可以让我们自动修改Http request和Response 的内容。& 而不用手动地去下"断点"来修改http Request或Response中的值。
Fiddler的作者
Fiddler 的作者是 Eric Lawrence 是个大师级的人物， 目前在微软总部西雅图工作。 他的博客是:
博客中能看到他的简历，以及一些生活照.
遇到问题如何向Fiddler的作者请教
Eric Lawrence&在Google 论坛中建了一个Fiddler 的讨论组， 地址是:
在这里Fiddler的使用者如果遇到任何问题，都可以这论坛里直接问Eric Law. Eric Law一般都会很快答复你。& 在问问题之前，请搜索下。因为你的问题很可能别人早就问过了。
关于Fiddler Script
Fiddler 包含了一个脚本文件可以自动修改Http Request 和Response.这样我们就不需要手动地下"断点"去修改了，
实际上它是一个脚本文件CustomRules.js&
位于: C:\Documents and Settings\[your user]\My Documents\Fiddler2\Scripts\CustomRules.js 下
你也可以在Fiddler 中打开CustomRules.js 文件，& 启动Fiddler, 点击菜单Rules-&Customize Rules...
Fiddler Script 的官方帮助文档必须认真阅读， 地址是：
Fiddler Script 是用JScript.NET语言写的
我从来没听说过JScript.NET语言，可能是JScript的升级版吧。& 写起来有点类似C#
安装Fiddler Script Editor
你可以直接用notepadCustomRules.js文件，
强烈推荐下载 Fiddler Script Editor 地址是：　
Fiddler Script Editor 提供了语法高亮，以及智能提示的功能， 如下图:
CustomRules.js中的主要方法
// 在这个方法中修改Request的内容， 我们用得最多,
static function OnBeforeRequest(oSession: Session)
// 在这个方法中修改Response的内容，
static function OnBeforeResponse(oSession: Session)
// 在个方法中包含Fiddler 命令。& 在Fiddler界面中左下方的QuickExec Box
static function OnExecAction(sParams: String[])
给Fiddler添加菜单
Fiddler可以模拟各种浏览器，你可以通过点击菜单 Rules-&User-Agents
不过好像没有Iphone 4S safari 的， 我们现在添加一个。& 先查询在网上Iphone 4S safari 的user-Agents, 然后添加如下代码代码就可以了
RulesStringValue(23, "Iphone 4S safari", "Mozilla/5.0 (iP U; CPU iPhone OS 4_0 like Mac OS X; en-us) AppleWebKit/532.9 (KHTML, like Gecko) Version/4.0.5 Mobile/8A293 Safari/")
&保存脚本， 重启Fiddler就可以看到菜单中多了个Iphone 4s
你可以把你常用的操作，都定义成一个menu，
修改Session在Fiddler的显示样式
我们可以控制Session在Fiddler中显示的样式， 具体文档是：
把这段脚本放在OnBeforeRequest(oSession: Session) 方法下，并且点击"Save script", 这样所有的cnblogs的会话都会显示红色.
if (oSession.HostnameIs("")) {
oSession["ui-color"] = "red";
运行效果如
如何在Fiddler Script中修改Cookie
cookie其实就是request 中的一个header.
// 删除所有的cookie
oSession.oRequest.headers.Remove("Cookie");
// 新建cookie
oSession.oRequest.headers.Add("Cookie", "username=testpassword=P@ssword1");
注意: Fiddler script不能直接删除或者编辑单独的一个cookie， 你需要用replace方法或者正则表达式的方法去操作cookie的string
static function OnBeforeRequest(oSession: Session)
& & &if (oSession.HostnameIs('') &&
& & & & & oSession.uriContains('pagewithCookie') &&
oSession.oRequest.headers.Contains("Cookie"))
& & &var sCookie = oSession.oRequest["Cookie"];
用replace方法或者正则表达式的方法去操作cookie的string
& & &sCookie = sCookie.Replace("cookieName=", "ignoreme=");
& & &oSession.oRequest["Cookie"] = sC
如何在Fiddler Script中修改Request 中的body
static function OnBeforeRequest(oSession: Session)
if(oSession.uriContains("/TankXiao/"))
// 获取Request 中的body字符串
var strBody=oSession.GetRequestBodyAsString();
// 用正则表达式或者replace方法去修改string
strBody=strBody.replace("1111","2222");
// 弹个对话框检查下修改后的body
FiddlerObject.alert(strBody);
// 将修改后的body，重新写回Request中
oSession.utilSetRequestBody(strBody);
方法二:& 提供了一个非常简单的方法，可以直接替换body中的数据
&oSession.utilReplaceInRequest("1111", "2222");
阅读(...) 评论()查看: 11921|回复: 7
推荐一个比fiddler牛叉的抓包工具http analyzer（内含和FIDDLER对比）
火车车厢 节
本帖最后由 lmj243 于
12:56 编辑
这是一款实时分析 HTTP/HTTPS 数据流的工具。它可以实时捕捉HTTP/HTTPS 协议数据，可以显示许多信息（包括：文件头、内容、Cookie、查询字符窜、提交的数据、重定向的URL地址），可以提供缓冲区信息、清理对话内容、HTTP状态信息和其他过滤选项。同时还是一个非常有用的分析、调试和诊断的开发工具。
HTTP Analyzer&&分两部份，可以集成在IE浏览器中抓包,可以单独的装应用程序的包。非常实用
HTTP Analyzer 是一个sniffer工具，它可以实时捕捉HTTP/HTTPS 协议数据，可以显示许多信息（包括：文件头、内容、Cookie、查询字符窜、提交的数据、重定向的URL地址），可以提供缓冲区信息、清理对话内容、 HTTP状态信息和其他过滤选项。同时还是一个非常有用的分析、调试和诊断的开发工具。
备注：IEInspector HTTP Analyzer Full Edition是完全版本,同时包含了HTTP Analyzer Stand-alone Edition和HTTP Analyzer IE Add-on Edition !希望大家喜欢!
HTTP Analyzer 是一个实时的web调试代理，如果你对Fiddler不陌生的话，HTTP Analyzer 就是和Fiddler具备一样功能的调试代理。
推荐这个软件而不推荐Fiddler的原因是。
1、HTTP Analyzer支持SSL。
2、HTTP Analyzer的过滤器比Fiddler要很多。Http Analyzer是一个http,https协议分析工具，用此工具可以非常快速的分析出绝大多数视频博客的视频地址。尽管有一些网站提供了诸如 YouTube ，Google Video 等视频网站的php解码程序，不过那些php程序并不是通用的，经常是今天能解码6Rooms，MoFile，明天就不一定能用了。当博客视频网站对视频地址加密算法做些变动时，php程序又需要大规模改动才能对应解码。使用类似Http Analyzer等的http协议分析工具就不同了，所有的博客视频都是http方式提供的，最终的http路径是肯定要明文出现的，所以获取此路径是可能的。第一步：设置好Http Analyzer的过滤器选项大部分的视频博客的Type都是 video/flv ，video/x-flv ，application/octet-stream 极少部分采用application/x-shockwave-flash 或干脆不表明类型。http的返回结果肯定是2XX，所以在Result 要设置成 & 300。返回的Size最好采用倒序排列，视频博客的大小一般比较大，倒序容易发现。第二步：运行Http Analyzer：（点击工具栏第一个绿色箭头图标）打开YouTube 或6rooms视频博客网站。回到Http Analyzer窗口，看你需要的视频地址是不是老老实实的呆在里面呢？右键复制地址，请出flashget 开工了......
支持以下浏览器:
Win 2000/XP/2003/Vista/Windows 7
Microsoft Internet Explorer 6,7,8 or 9
Mozilla Firefox 3.6 plus
其他未测试浏览器
为避免论坛被K。。。大家自行搜索下载去吧，哈哈，顺便帮以下人员出一下名： 火车客服小芳，gampu 嘿嘿
火车车厢 节
HTTP Analyzer在tcp层工作，Fiddler相当于代理服务器，所以前者功能肯定更强，一般情况下，Fiddler足矣满足网页数据抓包的基本需求了，都是不错的软件，支持Fiddler，因为免费
火车车厢 节
孤魂 发表于
HTTP Analyzer在tcp层工作，Fiddler相当于代理服务器，所以前者功能肯定更强，一般情况下，Fiddler足矣满足 ...
哇，孤魂大大竟然来顶贴，嘿嘿，HTTP ANALYZER，中文POJIE版的。。。。网上大把。。。。你懂的。。。。
火车车厢 节
孤魂 发表于
HTTP Analyzer在tcp层工作，Fiddler相当于代理服务器，所以前者功能肯定更强，一般情况下，Fiddler足矣满足 ...
围观高手！围观高手！保持队形
火车车厢 节
还是一般就行了。。。这个不好说的
火车车厢 节
这么多高手都在探讨
火车车厢 节
支持一下.....写的很好...我很喜欢
火车车厢 节
HTTP Analyzer&&很不好用，不支持其他浏览器，代理IP不能抓取，有的电脑还不能正常运行该软件
还是FIDDLER比较好。安装简单，功能强悍，免费
温馨提示：建议您联系官方定制服务，通过官方支付方式完成支付。您与其他非官方账号发生的交易，我方概不承担责任。网络有风险，交易需谨慎
Copyright &
&Template by
All Rights Reserved.
Powered by分享漏洞：
披露状态：
： 细节已通知厂商并且等待厂商处理中
： 厂商已经确认，细节仅向厂商公开
： 厂商已经修复漏洞并主动公开，细节向公众公开
简要描述：
使用fiddler抓取封包修改X-DeviceInfo值达到首单下单，使商家利益受损！
详细说明：
1：fiddler（http协议调试代理工具）2：夜神模拟器
夜神设好ip为本机，打开fiddler抓取！
跳过语音验证码达到免单或者几块钱便能吃饭
选择新用户优惠
用户优惠，直接进去点餐
联系人及手机号码随便填写，若填写不是新用户手机换一个填写即可
填写完成后会出现设备异常
需要用户手机语音码
但这些阻止不了！请看漏洞证明！
漏洞证明：
fiddler抓取封包 选中 F2修改
修改X-DeviceInfo 值
修改X-DeviceInfo
修改完成后直接
一大堆提示后 正确的来了，这个时候已经跳过语音验证码! 主文每个地方都不一样!
设备异常 已经是浮云!
修复方案：
1:可关闭邮箱登录
2:可双层验证,登录需要手机信息,下单需要语音验证码,(针对首单用户,若不是首单用户,本地会有cookie.)
望厂商修复
版权声明：转载请注明来源 @
厂商回应：
危害等级：低
漏洞Rank：2
确认时间： 16:50
厂商回复：
非常感谢您的报告。这个问题我们已经确认，正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。
最新状态：
：如有任何新的进展我们将会及时同步。
漏洞评价：
对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
哈哈，首单减免力度还是很大的！
这不标题不就直接复线了么
算法没有验证值的有效性？
怎么这么低分
@小手冰凉 母鸡啊！
登录后才能发表评论，请先