#1 楼
您可以使用一些工具来查看从浏览器发送到Web应用程序的内容,并推断出如何“模仿”此行为。在这里,网络嗅探器将是最有用的。例如Wireshark(尤其是Follow Stream功能)。此外,某些浏览器插件也可能有用,例如Firebug,TamperData和Poster。Appart就是这样,这只是复制浏览器的功能。
基本上,http通信包含GET或POST请求和答复(还有其他请求,您应该查看RFC2616以获取更多详细信息)。因此,通过查看Wireshark中的HTTP流,您可以推断出什么样的请求被发送到Web应用程序以及它得到了什么样的答复。可以通过研究网页的html源来推断出此信息中的某些(甚至大部分)信息,因为html表单元素将具有指定的参数和操作url。
#2 楼
除了上述工具外,我还要指出httpry,它基于libpcap(例如tcpdump和WireShark),但仅用于侦听和列出HTTP流量。Fiddler是另一个工具,即使不是FLOSS,也可以像Firefox“篡改数据”附加组件那样工作。雷姆科在评论中也提到了这一点,但我认为它需要比评论更突出地提及。仔细阅读时,其他答案就遗漏了它。
#3 楼
做到这一点的方法是使用网页抓取技术。如果您可以使用浏览器访问网页/资源,则使用嗅探器和代理服务器是过大的。在这种情况下,您只需要使用户在浏览器中执行的操作自动化,并使用Chrome开发者工具之类的工具来检查HTML和AJAX连接。如果您愿意,我就此主题撰写了几篇文章看看:
Google搜索NoAPI(自动执行Google搜索)
用于Twitter的自动无浏览器OAuth身份验证
Web Scraping Ajax并且Javascript Sites最终包含了大量关于脱机/无头浏览器以及HTMLUnit等浏览器仿真的资源。对于具有某些反抓取技术的应用程序,您可以查看“运行您的自己的匿名旋转代理
如果这里没有涵盖某些特定要求,请随时发表评论,我会为您提供帮助。
#4 楼
Fiddler学习喜欢它。.它提供了一个易于使用的界面来捕获对预期站点的请求/响应。
基本上,您需要:
使用浏览器发出要自动执行的请求。
使用Fiddler捕获这些请求并进行调查。 (是POST还是GET?是否有CSRF令牌?哪些变量映射到我提供的输入等。)
从服务器获取响应。
确定包含输出的部分。
然后,您需要编写一个脚本,该脚本接受要发送有问题的任何输入,然后以与浏览器相同的方式发出请求。存储输出并拉出所需的部分。
一旦成功弄清楚如何制定请求,您就可以构建一个类来隐藏所有工作原理的细节并编写清晰的代码。
评论
我也可以推荐Fiddler和http分析器(商业)
–雷姆科
13-4-4在12:52
mitmproxy非常好,修改/重放数据包真的很容易。
–toasted_flakes
13-4-4在17:53