我需要对使用Windows身份验证模式的silverlight应用程序进行压力测试。为了完成这项任务,我正在使用StressStimulus Fiddler插件。
我正在做的是登录并执行搜索等操作。我捕获了在Fiddler中传输的HTTP消息,并使用上述工具重放它们。
但是,当我重播软件包时,我总是得到401.1服务器响应。
我尝试使用不同的授权方法(NTLM和Negotiate),但我总是得到相同的响应消息。
Fiddler似乎配置正确。在Fiddler选项中,检查menun“重用客户端连接”以及“重用与服务器的连接”。我甚至在注册表中提出了KeepAliveTimeout而没有任何成功。
有没有人知道哪里出错?
答案 0 :(得分:1)
您无法重播NTLM和Negotiate等身份验证。任何挑战/响应认证的最重要特征之一是它不能是可重放的。如果没有此功能,攻击者可以监视成功的身份验证,然后重播相同的序列以获取对他们无权访问的内容。