python3利用Fiddler4抓包分析模拟saml单点登录

最新推荐文章于 2025-10-13 23:21:32 发布
原创 最新推荐文章于 2025-10-13 23:21:32 发布 · 2.6k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#单点登录 #爬虫

本文介绍了如何使用Fiddler抓包工具分析并模拟基于SAML的单点登录过程。在尝试爬取公司内网图片时,发现登录涉及多次重定向和cookie变化。SAML是一种安全断言标记语言,通过身份认证提供单点登录服务。抓包过程中,从客户端到服务提供者,再到身份提供者,详细解析了每个步骤。最后分享了通过观察所需资源的请求信息来逐步推导登录流程的技巧,并提供了相关代码。

背景:
需要爬取公司内网的一些图片,然后直接登录地址模拟无效,Fiddler抓包后发现登录过程中有多次重定向和cookie变化,分析后发现是基于saml的单点登录。记录一下。

先说明一下什么是SAML (Security Assertion Markup Language)

安全断言标记语言,断言就是做出判断的语言,如‘A有权限访问网站B’
以往的访问是在client(一般是browser)和serviceProvider(SP,服务提供商,是指利用IdP的身份管理功能,为用户提供具体服务的应用)之间发生,基于SAML的单点登录,引入了一个identityProvider(IDP)用来做身份认证。整个访问过程大概是这样:
1. client访问SP
2. SP给client返回saml认证请求,并post到IdP
3. IdP给client返回登录页面,client填写登录信息提交给IdP
4. IdP认证后返回给client一个认证相应,并post到SP
5. SP返回client请求的资源

大概就是这样一个过程,接下来就是不断的去抓包,然后模拟整个过程。

有个小技巧就是,先找到需要获取的资源,然后看它的request中需要哪些cookie、formData,然后再一步一步到推回去。

代码见下:

import requests
from bs4 import BeautifulSoup

# function definition: 发起get请求
def getRequest(session, url, header):
    response = session.get(url=url, headers=header, verify=False)
    return response, session
# function definition: 发起post请求
def postRequest(session, url, data, header):
    response = session.post(url=url, data=data, headers=header, verify=False)
最低0.47元/天 解锁文章
[模拟登陆三剑客]2. 使用Fiddler 分析数据包
西城月老的博客
12-26 2304
[模拟登陆三剑客]2. 使用Fiddler 分析数据包 目的 :以模拟登陆为例,认识Fiddler的界面和重要功能 工具 :Win7 32/64 位, Fiddler, Chrome/IE 说明 :#3 在文中表示:图中的蓝色圆形标号Fiddler界面认识上一节我们用Fiddler抓取到了某网站的数据包如下。 下面介绍Fiddler的界面,以及模拟登陆需要用到的Fiddler的功能
G01_HttpRunner重定向:WordPress 登录抓包分析
捉虫客 de 博客
04-25 635
G01_HttpRunner重定向:WordPress 登录抓包分析 有时候我们执行测试用例,提取内容和断言均失败,分析后发现提取数据的页面并不是我们预期的页面,原来都是重定向惹的祸,HttpRunner 自动跟随系统进行了重定向处理。 本次实验我们用本地部署的 WordPress 项目(博客系统)来演示。该项目可以直接使用 XAMPP 快速搭建测试环境。还是从绕不过的登...
python 单点登录
风吹半夏
12-21 4185
前言   最近项目中小组负责开发的知识图谱子系统需要增加单点登录这个功能,由于我也是头一次开发这个,也请教了java后端大佬,再根据自己具体业务和使用的框架(fastapi)完成了任务,现在回过头来整理一下。   单点登录(Single Sign On),简称为 SSO,是比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。在整个项目中,存在多个业务系统,也有独立登录系统,把授权的逻辑与用户信息的相关逻辑独立,由统一认证中心进行管理。因此
Fiddler模拟登录请求
Lcynsyw的博客
06-23 882
背景:假如在开发中,登录接口还没做好但是需要进行测试,需要使用到Fiddler模拟一下请求
Python 实现一个简化但可运行的 单点登录(SSO)系统。
最新发布
Qfu_g05s的博客
10-13 235
单点登录(SSO)是一种身份验证机制,允许用户通过单一凭证访问多个关联系统。核心原理包括集中式认证和令牌(Token)分发。用户首次登录时,认证服务器生成令牌并传递给其他子系统,子系统通过验证令牌有效性实现免密登录。以下实现使用 Flask 框架,包含三个组件:认证服务器(Auth Server)、主应用(App1)和子应用(App2)。使用 JWT(JSON Web Token)作为令牌标准。
【亲测免费】 探索Python-SAML:一站式的SAML身份验证解决方案
gitblog_00074的博客
04-26 590
在数字化转型的过程中,安全的身份验证机制是不可或缺的一部分。是一个强大的Python库,专为处理Security Assertion Markup Language (SAML) 协议而设计。本文将引导您深入了解这个项目,其技术特性,应用场景以及为何它值得您的信赖和使用。 ## **项目简介** Python-SAML是由Onelogin开发并维护的一个开源项目,旨在简化与SAML服务提供商(...
Python3 - Flask+swift实现单点登录
韩俊强的博客
03-25 1000
需要注意的是,上述代码只是一个示例,实际操作时需要进一步完善和优化,例如加入数据验证、错误处理等功能。同时,还需要考虑如何保护敏感数据不被泄露,例如使用 HTTPS 协议、存储密码的哈希值等措施。在客户端 Objective-C 应用程序中,需要在每次发起请求时添加请求头信息(Authorization),包含存储的 token 值。部分需要替换为从登录接口获取到的有效 token 值。需要注意的是,上述代码中。
python3使用saml2.0协议接入SSO
杨佳佳的博客
09-10 8316
SAML(Security Assertion Markup Language)是一个 XML 框架,也就是一组协议,可以用来传输安全声明。比如,两台远程机器之间要通讯,为了保证安全,我们可以采用加密等措施,也可以采用 SAML 来传输,传输的数据以 XML 形式,符合 SAML 规范,这样我们就可以不要求两台机器采用什么样的系统,只要求能理解 SAML 规范即可。 其核心是: IDP和SP通过...
fiddler4_3259_python抓包_fildder结合python_fiddler_python开发工具_fiddle
10-04
3. **日志记录**:`Fiddler4`抓包的数据可以被`Python`实时记录,形成网络行为日志,便于分析和研究。 4. **安全检测**:分析HTTP请求和响应,发现潜在的安全问题,如XSS、CSRF等。 5. **性能优化**:监测网络延迟、...
Python-利用Fiddler抓包分析毒舌影评社区的APPapi接口
08-12
利用Fiddler抓包分析毒舌影评社区的APP api接口。单机版的scrapy爬虫,基于scrapy-redis
精选资源
fiddler网络抓包分析软件
11-02
fiddler网络抓包分析软件详解》 在IT领域,网络通信的调试与分析是一项重要的任务,而fiddler网络抓包分析软件正是为此目的而设计的强大工具fiddler,这款由Telerik公司开发的HTTP调试代理,能够帮助开发者、...
精选资源
Python如何爬取微信公众号文章和评论(基于 Fiddler 抓包分析)
01-20
抓包分析 本次实战对抓取的公众号没有限制,但不同公众号每次抓取之前都要进行分析。打开Fiddler,将手机配置好相关代理,为避免干扰过多,这里给Fiddler加个过滤规则,只需要指定微信域名mp.weixin.qq.com就好: ...
fiddler模拟用户请求
weixin_30323961的博客
10-24 180
fiddler拦截篡改数据 ①bpustr//设置断点str拦截的字符、方法 ②bpu //取消断点 步骤:   1、bpu getUser,设置断点   2、调用接口,进入调试   3、修改具体参数(改为某个用户的unionid-->sid,user_id,_t等,按enter确定)   4、run ...
在ASP.NET 中实现单点登录
01-01
出自:【孟宪会之精彩世界】 发布日期:2005年1月27日 8点48分0秒 [有删改]  由于某些原因,在我们的应用中会遇到一个用户只能在一个地方登录的情况,也就是我们通常所说的单点登录。在ASP.NET中实现单点登录其实很简单,下面就把主要的方法和全部代码进行分析。   实现思路   利用Cache的功能,我们把用户的登录信息保存在Cache中,并设置过期时间为Session失效的时间,因此,一旦Session失效,我们的Cache也过期;而Cache对所有的用户都可以访问,因此,用它保存用户信息比数据库来得方便。   SingleLogin.aspx代码   <%@ Page langua
CAS单点登录原理,CAS服务端和客户端验证流程,抓包分析,CAS代码分析
weixin_34174422的博客
12-17 917
在网上找了很多的关于CAS的文章来看,发现这篇文章对CAS的整个登陆流程解析的比较清楚,转载过来分享一下。文章来源:http://www.mytju.com/classcode/news_readNews.asp?newsID=503首先,cas 服务端的执行流程是WEB-INF/login-webflow.xml定义的,可以大概看看。我用的代码是cas-server...
python3爬虫模拟登录爬取教务系统成绩单(获取cookie操作)
weixin_43853097的博客
01-14 2511
前言 今天来写写爬取教务系统的爬虫,此次的爬虫目的是爬取教务系统里面的成绩单,涉及到的库依旧是selenium,re,beautifulsoup,Options,今天多了个csv库用来处理爬取的数据,使其生成相应的csv文件,可用于excel和txt打开,好了,废话不多说,开始步骤 具体步骤 ①首先要设定好chromedriver终端程序文件的路径以及生成文件的路径,还有登录的账号密码 #模拟登陆...
Python模拟登陆网页的三种方法
热门推荐
LSH1628340121的博客
07-29 2万+
爬虫模拟网页登陆,获取网页内容
利用SAML证书登陆vCenter
Gjqhs的博客
01-02 1740
模拟环境: 使用CVE-2021-22005获取权限后下载data.mdb文件 vSphere: vSphere是VMware推出的虚拟化平台套件,包含ESXi、vCenter等一系列的软件。 其中vCenter为 ESXi的控制中心,可从单一控制点统一管理数据中心的所有vSphere主机和虚拟机,使得运维能够提高控制能力,也使我们作为攻击者能够更快速的对权限进行获取。 vSphere5开始引入了单点登录系统,同时使用SAML作为授权服务支持。当用户登录服务时,该服务会将身份验证请求转发给 SAM
urlib2实现单点登录
xyz的博客
08-14 594
问题起源:公司买的java开发的项目没有源码,提供不了额外的接口,需要用爬虫单点登录之后获取数据。由于selenium要启动webdriver太慢,所以用urllib2实现登录。 1.首先需要理解cas授权和sso的原理,这个网上很多,自己看。关键是如何才能获取最终的SESSION。 2.urilib的post form貌似是不能实现自己携带cookie和转发的(java的httpclient...
Fiddler抓包工具模拟HTTPS请求分析
4. 分析和性能监控:Fiddler提供了一系列工具用于分析网络性能问题,例如统计会话时间,标记和查看性能瓶颈。 5. 自定义请求:用户可以通过Fiddler的composer功能自定义请求,并发送到服务器进行测试。 6. 解码HTTPS...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值