HTTPS Post-Request: Parameter bestimmen?

12/10/2014 11:45 chrisyou#1
Hallo!

Ich versuche mich automatisiert in eine Seite mit HTTPS-Unterstützung einzuloggen.

Leider kann ich mithilfe des HTTP Headers ja nicht bestimmen, mit welchen Parametern das Passwort und der Benutzername übergeben wird, da diese Angaben verschlüsselt sind.

Wisst ihr, wie ein solcher Login gelingen kann?
Muss ich dazu einfach die Felder herausfinden, ausfüllen lassen und per Submit übergeben?

Bitte um Hilfe :)
12/10/2014 13:31 qqdev#2
Benutze Firebug oder Fiddler (für Webanwendungen)
12/10/2014 13:43 Devsome#3
Ich glaube bei einem HTTPS Login reichen die Parameter nicht mehr komplett aus, kann mich aber auch irren.
12/10/2014 19:21 chrisyou#4
Quote:
Originally Posted by qqdev View Post
Benutze Firebug oder Fiddler (für Webanwendungen)
Aus dem Firebug-Log werde ich nicht schlau.
Bei HTTP Post-Anfragen steht alles in Klartext, bei HTTPS sehe ich nur wirres Zeug.

Beispiel bei Facebook (Daten geändert):
Quote:
__user=100012345718828&__a=1&__dyn=7ngKIEQiECBymfD gDxyKAEWCueyrgix2mybACBAyFohWrWo9UnUCq9yzo8T8OqUky UnxHwCw&__req=5&fb_dtsg=TYYY5yyltLefpm3M&ttstamp=2 126525457467761021121095177&__rev=15232424
12/10/2014 20:09 Mostey#5
Quote:
Originally Posted by chrisyou View Post
Aus dem Firebug-Log werde ich nicht schlau.
Bei HTTP Post-Anfragen steht alles in Klartext, bei HTTPS sehe ich nur wirres Zeug.

Beispiel bei Facebook (Daten geändert):
HTTPS ist HTTP über SSL/TLS -> verschlüsselt. Wenn die Seite HTTP nicht akzeptiert, musst du mittels SSL/TLS verschlüsseln und senden (und das ist nicht trivial, wenn du es richtig machen willst)

Ansonsten gibt es hier einen schmutzigen Hack: [Only registered and activated users can see links. Click Here To Register...]

Wobei es da bestimmt Libraries gibt, die dir da die Arbeit abnehmen.

Fiddler kann übrigens bei dir ein Zertifikat lokal installieren, mit dem du HTTPS traffic ebenfalls im Klartext sehen kannst.
12/10/2014 20:16 qqdev#6
Quote:
Originally Posted by chrisyou View Post
Aus dem Firebug-Log werde ich nicht schlau.
Bei HTTP Post-Anfragen steht alles in Klartext, bei HTTPS sehe ich nur wirres Zeug.

Beispiel bei Facebook (Daten geändert):
Das ist der Klartext der Anfrage. Facebook bringt sie in diese Gestalt. Das hat nichts mit HTTPS zutun.
12/10/2014 22:17 warfley#7
Mit Fiddler kannst du soweit ich weiß ein Falsches HTTPS Zertifikat einsetzen, und damit die Daten auslesen
12/15/2014 17:42 chrisyou#8
Quote:
Originally Posted by qqdev View Post
Das ist der Klartext der Anfrage. Facebook bringt sie in diese Gestalt. Das hat nichts mit HTTPS zutun.
Wie sende ich die Daten also an die Maske, die sie in diese Gestalt bringt?
12/15/2014 19:37 qqdev#9
Keine Ahnung. Da beginnt halt die Forschungsarbeit. Schau dir den Seitenquellcode an (+JavaScript files).
12/15/2014 20:23 MrDami123#10
Standardmässig sollte es eig. funktionieren:

Quote:
The .NET Framework provides protocol-specific classes derived from WebRequest and WebResponse for URIs that begin with "http:", "https:'', "ftp:", and "file:".
[Only registered and activated users can see links. Click Here To Register...]

Facebook-Login:
Code:
Remote Address:
Request URL:[url]https://www.facebook.com/login.php?login_attempt=1[/url]
Request Method:POST
Status Code:200 OK

Request Headers
:host:[url]www.facebook.com[/url]
:method:POST
:path:/login.php?login_attempt=1
:scheme:https
:version:HTTP/1.1
accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
accept-encoding:gzip, deflate
accept-language:de-DE,de;q=0.8,en-US;q=0.6,en;q=0.4
cache-control:max-age=0
content-length:700
content-type:application/x-www-form-urlencoded
cookie:oo=1; locale=de_DE; datr=R72oUjcHxW1B2BxbZ_Nremtd; fr=0QLIadgPopF5IYmVz.AWU7p3c12S02gIwz6pWp8FLWE9Y.BUFyvU.Dn.AAA.0.AWVxZM1z; lu=RAhw8FLcKzjJ40HwkfqWqZsw; reg_fb_gate=https%3A%2F%2Fwww.facebook.com%2F%3Fstype%3Dlo%26jlou%3DAfcFRiiqVhb0wYKlDONNnt4V44OxXwUY6FUVXRm_16mvDuMyufknGhVPkX5RyLXRw1mv1MSwW2qvod82IZjM4Kg71FKSk-V6Hi4T1ABnmENWIw%26smuh%3D47365%26lh%3DAc__y0QXnoyrAad2; reg_ext_ref=https%3A%2F%2Fwww.google.com%2F; reg_fb_ref=https%3A%2F%2Fde-de.facebook.com%2F
origin:[url]https://de-de.facebook.com[/url]
referer:[url]https://de-de.facebook.com/[/url]
user-agent:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36

Parameter:
login_attempt:1

Form-Data:
lsd:AVrVhLiU
email:
pass:
default_persistent:0
timezone:-60
lgnrnd:111548_nK6h
lgnjs:1418670951
locale:de_DE
qsstamp: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
Es werden einige Daten übergeben, welche sich auf der eigentlichen Facebookseite generieren, deshalb musst du zuerst die Seite aufrufen, und von dort aus Email und Passwort einfügen und die Form abschicken.