http://www.51testing.com/html/59/488459-3578170.html

http://www.netconcepts.cn/personal-blog/32046.html

RTT(Round-Trip Time): 往返时延。在计算机网络中它是一个重要的性能指标，表示从发送端发送数据开始，到发送端收到来自接收端的确认（接收端收到数据后便立即发送确认），总共经历的时延。

http://kb.cnblogs.com/page/130367/
http://www.imooc.com/learn/37

阅读目录

1. Fiddler的基本介绍
2. Fiddler的工作原理
3. 同类的其它工具
4. Fiddler如何捕获Firefox的会话
5. Fiddler如何捕获HTTPS会话
6. Fiddler的基本界面
7. Fiddler的统计视图
8. QuickExec命令行的使用
9. Fiddler中设置断点修改Request
10. Fiddler中设置断点修改Response
11. Fiddler中创建AutoResponder规则
12. Fiddler中如何过滤会话
13. Fiddler中会话比较功能
14. Fiddler中提供的编码小工具
15. Fiddler中查询会话
16. Fiddler中保存会话
17. Fiddler的script系统
18. 如何在VS调试网站的时候使用Fiddler

　　Fiddler的基本介绍

　　Fiddler的官方网站:  www.fiddler2.com

　　Fiddler官方网站提供了大量的帮助文档和视频教程， 这是学习Fiddler的最好资料。

　　Fiddler是最强大最好用的Web调试工具之一，它能记录所有客户端和服务器的http和https请求，允许你监视，设置断点，甚至修改输入输出数据，Fiddler包含了一个强大的基于事件脚本的子系统，并且能使用.net语言进行扩展

　　你对HTTP 协议越了解， 你就能越掌握Fiddler的使用方法。你越使用Fiddler，就越能帮助你了解HTTP协议。

　　Fiddler无论对开发人员或者测试人员来说，都是非常有用的工具。

　　Fiddler的工作原理

　　Fiddler 是以代理web服务器的形式工作的，它使用代理地址:127.0.0.1，端口:8888。当Fiddler退出的时候它会自动注销，这样就不会影响别的 程序。不过如果Fiddler非正常退出，这时候因为Fiddler没有自动注销，会造成网页无法访问。解决的办法是重新启动下Fiddler。

　　同类的其它工具

　　同类的工具有: httpwatch, firebug, wireshark

　　Fiddler 如何捕获Firefox的会话

　　能支持HTTP代理的任意程序的数据包都能被Fiddler嗅探到，Fiddler的运行机制其实就是本机上监听8888端口的HTTP代理。 Fiddler2启动的时候默认IE的代理设为了127.0.0.1:8888，而其他浏览器是需要手动设置的，所以将Firefox的代理改为 127.0.0.1:8888就可以监听数据了。

　　Firefox 上通过如下步骤设置代理

　　点击: Tools -> Options,  在Options 对话框上点击Advanced tab - > network tab -> setting.

　　Fiddler如何捕获HTTPS会话

　　默认下，Fiddler不会捕获HTTPS会话，需要你设置下， 打开Fiddler  Tool->Fiddler Options->HTTPS tab

　　选中checkbox， 弹出如下的对话框，点击"YES"

　　

　　点击"Yes" 后，就设置好了。

　　Fiddler的基本界面

　　看看Fiddler的基本界面

　　Fiddler的HTTP统计视图

　　通过陈列出所有的HTTP通信量，Fiddler可以很容易的向您展示哪些文件生成了您当前请求的页面。使用Statistics页签，用户可以通过选择多个会话来得来这几个会话的总的信息统计，比如多个请求和传输的字节数。

　　选择第一个请求和最后一个请求，可获得整个页面加载所消耗的总体时间。从条形图表中还可以分别出哪些请求耗时最多，从而对页面的访问进行访问速度优化

　　QuickExec命令行的使用

　　Fiddler的左下角有一个命令行工具叫做QuickExec，允许你直接输入命令。

　　常见得命令有：

　　help  打开官方的使用页面介绍，所有的命令都会列出来

　　cls    清屏  (Ctrl+x 也可以清屏)

　　select  选择会话的命令

　　?.png  用来选择png后缀的图片

　　bpu  截获request

　　Fiddler中设置断点修改Request

　　Fiddler最强大的功能莫过于设置断点了，设置好断点后，你可以修改httpRequest的任何信息包括host, cookie或者表单中的数据。设置断点有两种方法：

　　第一种：打开Fiddler 点击Rules-> Automatic Breakpoint  ->Before Requests(这种方法会中断所有的会话)

　　如何消除命令呢？  点击Rules-> Automatic Breakpoint  ->Disabled

　　第二种:  在命令行中输入命令:  bpu www.baidu.com   (这种方法只会中断www.baidu.com)

　　如何消除命令呢？  在命令行中输入命令 bpu

　　看个实例，模拟博客园的登录， 在IE中打开博客园的登录页面，输入错误的用户名和密码，用Fiddler中断会话，修改成正确的用户名密码。这样就能成功登录：

　　1. 用IE 打开博客园的登录界面  http://passport.cnblogs.com/login.aspx

　　2. 打开Fiddler,  在命令行中输入bpu http://passport.cnblogs.com/login.aspx

　　3. 输入错误的用户名和密码，点击登录

　　4. Fiddler 能中断这次会话，选择被中断的会话，点击Inspectors tab下的WebForms tab 修改用户名密码，然后点击Run to Completion 如下图所示。

　　5. 结果是正确地登录了博客园

　　Fiddler中设置断点修改Response

　　当然Fiddler中也能修改Response：

　　第一种：打开Fiddler 点击Rules-> Automatic Breakpoint  ->After Response  (这种方法会中断所有的会话)

　　如何消除命令呢？  点击Rules-> Automatic Breakpoint  ->Disabled

　　第二种:  在命令行中输入命令:  bpuafter www.baidu.com   (这种方法只会中断www.baidu.com)

　　如何消除命令呢？  在命令行中输入命令 bpuafter,

　　具体用法和上节差不多，就不多说了。

　　Fiddler中创建AutoResponder规则

　　Fiddler 的AutoResponder tab允许你从本地返回文件，而不用将http request 发送到服务器上。

　　看个实例：

　　1. 打开博客园首页，把博客园的logo图片保存到本地，并且对图片做些修改。

　　2. 打开Fiddler 找到logo图片的会话， http://static.cnblogs.com/images/logo_2012_lantern_festival.gif，  把这个会话拖到AutoResponer Tab下

　　3. 选择Enable automatic reaponses 和Unmatched requests passthrough

　　4. 在下面的Rule Editor 下面选择 Find a file... 选择本地保存的图片.  最后点击Save 保存下。

　　5.   再用IE博客园首页， 你会看到首页的图片用的是本地的。

　　Fiddler中如何过滤会话

　　每次使用Fiddler, 打开一个网站，都能在Fiddler中看到几十个会话，看得眼花缭乱。最好的办法是过滤掉一些会话，比如过滤掉图片的会话。Fiddler中有过滤的功能， 在右边的Filters tab中，里面有很多选项， 稍微研究下，就知道怎么用。

　　Fiddler中会话比较功能

　　选中2个会话，右键然后点击Compare，就可以用WinDiff来比较两个会话的不同了（当然需要你安装WinDiff）

　　Fiddler中提供的编码小工具

　　点击Fiddler 工具栏上的TextWizard,  这个工具可以Encode和Decode string.

　　Fiddler中查询会话

　　用快捷键Ctrl+F打开Find Sessions的对话框，输入关键字查询你要的会话。 查询到的会话会用黄色显示。

　　Fiddler中保存会话

　　有些时候我们需要把会话保存下来，以便发给别人或者以后去分析。  保存会话的步骤如下：

　　选择你想保存的会话，然后点击File->Save->Selected Sessions

　　Fiddler的script系统

　　Fiddler最复杂的莫过于script系统了，官方的帮助文档: http://www.fiddler2.com/Fiddler/dev/ScriptSamples.asp。

　　首先先安装SyntaxView插件，Inspectors tab->Get SyntaxView tab->Download and Install SyntaxView Now... 如下图

　　安装成功后Fiddler 就会多了一个Fiddler Script. tab，如下图：

　　在里面我们就可以编写脚本了， 看个实例让所有cnblogs的会话都显示红色。

　　把这段脚本放在OnBeforeRequest(oSession: Session) 方法下，并且点击"Save script"

if (oSession.HostnameIs("www.cnblogs.com")) {

　　oSession["ui-color"] = "red";

}

　　这样所有的cnblogs的会话都会显示红色。

　　如何在VS调试网站的时候使用Fiddler

　　我们在用visual stuido 开发ASP.NET网站的时候也需要用Fiddler来分析HTTP， 默认的时候Fiddler是不能嗅探到localhost的网站。不过只要在localhost后面加个点号，Fiddler就能嗅探到。

　　例如：原本ASP.NET的地址是 http://localhost:2391/Default.aspx，  加个点号后，变成 http://localhost.:2391/Default.aspx 就可以了

转自：http://bbs.fishc.com/thread-61714-1-1.html

目标：http://www.gbmypt.com
注入点: http://www.gbmypt.com/common.asp?id=1
老漏洞了， 不过在国内， 还有很多这样的漏洞。
判断是否有注入， 最简单的， 就是用and 1=1或and 1=2， 这个应大家都会。


我们先加一个分号在后面， 看一下页面返回什么。
http://www.gbmypt.com/common.asp?id=1‘

可以看到， 报错了， 看错误， 应是access类型的数据库。
我们也可以在后面加and 1=1或and 1=2分别测试。
当and 1=1时， 返回正确页面:



当and 1=2时， 返回的是错误页面:



还以为会返回点什么东西呢， 结果什么也没有， 但我们可以判断， 这是一个错误页面。
所以， 这时候我们可以确定， 这里存在注入。

对于access, 当我们确定有注入时， 可以用and exists(select * from 表名)来猜表。
http://www.gbmypt.com/common.asp?id=1 and exists(select * from admin):


显示错误， 说明表猜错了。
现在我们猜一下admin_user表看看：



页面正常， 说明这时表已猜对了。
猜表其实很麻烦是吧， 一个一个猜， 猜到什么时候啊。
不过， 我们可以用工具去跑， 但这里先不说。

猜对表了， 我们要猜一下字段数， 用order by:

http://www.gbmypt.com/common.asp?id=1 order by 5 时出现错误， 4时正确 ， 所以确定字段数为4。






表名有了， 字段数有了， 再用union语句， 得到显示位:



看到页面上显示2， 3吗？这就是显示位， 这个时候， 我们可以把2, 3， 换成admin_user表中的字段名， 就可以显示它的内容。
比如， 对于admin_user表， 看名字， 应是管理员表， 里面应存在密码帐号， 而密码与帐号， 一般情况下， 都定义为user, password, user_name, user_password, passwd等形式。
在这里， 这是一个老漏洞了， 这个网页用的cms为xycms， 它默认的字段名叫user, password。 但如果不是呢， 那就要猜了， 怎么猜？有点麻烦。
如果真能猜的， 我觉得一定是没有防注入的， 那用工具跑还方便呢。你说呢？！

我们把2换成user, 把3换成password看看。


出错了。
那重新猜吧。 把2换成admin, 3换成password看看:



嗯， 猜对了， 对应的帐号密码应是:
帐号: guobiaomaoyi
密码: 8b53ece25c18745d7874851d976dc4ab
密码md5加密了， 去解解看。



解不了。
那后台登录暂时没办法了。
记得前几天， 用户不是这个的， 字段是user, password， 现在改了， 当时用户名是admin,现在也改了。
可能是前几天， 把它主页改了吧。

两种方法可以安装TestNG Eclipse插件：

第一种，离线安装

TestNG Eclipse插件下载地址http://testng.org/doc/download.html。

下载下来以后，放在eclipse的plugins文件夹下，然后启动eclipse，点击Help -> software update -> Installed Software, 查找到TestNG Eclipse插件，点击Install（安装），安装完成后，重启eclipse。

然后去Windows -> show view -> other，java文件夹下，有TestNG，双击图标，在eclipse界面下面便会出现TestNg的窗体。

第二种，在线安装
具体步骤如下：

    1. 选择菜单：Help->Install New Software，然后在弹出的窗口中的Work with后面的输入框中输入：

http://beust.com/eclipse。

    2. 然后点击Add按钮，选中TestNG后一路点击Next下去安装即可，直到Finished之后，重启Eclipse完成安装。

http://www.eclipse.org/downloads/download.php?file=/technology/epp/downloads/release/luna/SR1a/eclipse-jee-luna-SR1a-win32-x86_64.zip

进行下面的设置：

将LicenseProvider.dll 替换“..\..\IBM\AppScan Standard”目录下同名文件，许可证处还是显示演示许可证，但扫描目标已经不受限制了

是一个HTTP**服务器,HTTP监视器,反转**服务器·它允许一个开发者查看所有连接互联网的HTTP通信·这些包括request, response现HTTP headers （包含cookies与caching信息）.

神一样的软件，能办好多事儿。

http://www.docin.com/p-74257322.html

Click "System" in the left top corner, Preferences->iBus preferences->Input method, Add the Chinese input method.