使用 fiddler 测试 Silverlight 应用程序时获取 401.1 Web 响应

Question

我需要对使用 Windows 身份验证模式的 silverlight 应用程序进行压力测试。为了完成此任务，我使用 StressStimulus Fiddler 插件。

我正在做的是登录并执行一些诸如搜索等操作。我捕获了 Fiddler 中传输的 HTTP 消息并使用上述工具重播它们。

但是，当我重放包时，我总是收到 401.1 服务器响应。

我尝试使用不同的授权方法（NTLM 和协商），但我总是收到相同的响应消息。

Fiddler 似乎配置正确。在 Fiddler 选项菜单中，选中“重用客户端连接”以及“重用与服务器的连接”。我什至在注册表中提高了KeepAliveTimeout，但没有成功。

有人知道出了什么问题吗？

Answer 1

您无法重播 NTLM 和 Negotiate 等身份验证。任何挑战/响应身份验证的最重要特征之一是它必须是不可重播的。如果没有此功能，攻击者可以监视成功的身份验证，然后重播相同的序列以获取对他们无权访问的内容。