想用好Fiddler?这个强大的插件一定要知道

发表于:2021-10-19 09:37  作者:王昌   来源:51Testing软件测试网原创

字体: | 上一篇 | 下一篇 |我要投稿 | 推荐标签: Fiddler

  Fiddler作为一款Web调试工具,功能强大的同时还提供免费版本给用户使用,可以记录客户端和服务器之间的所有HTTP/S请求,针对特定的应用场景,提供了分析请求数据、设置断点、调试web应用、修改请求等功能。
  Fiddler的本质就是“中间人”,负责在浏览器将请求上送至服务器前,对请求进行拦截,修改后将请求发送至目标服务器;服务器收到请求后进行响应,将响应报文传送至浏览器前,Fiddler进行响应拦截,将响应报文篡改后,再传给浏览器。Fiddler的工作原理赋予了其在安全渗透测试场景下的能力,通过截获HTTP/S请求,将可变请求参数替换为攻击向量,通过特定的规则库匹配服务器的响应报文进一步判断是否存在安全问题。
  Fiddler也只是满足安全测试的基本条件,但是当面对自动化Fuzzing场景难免有些乏力。如何改造Fiddler以满足我们的需求呢?Fiddler的可拓展性为我们提供了可能,用户可以定制化Burp-Like Inspector插件来实现自动化Fuzzing测试。接下来我们将着重介绍一下这个插件的用法。

  一、下载和安装
  Burp-Like Inspector插件并不在Fiddler的官方插件库内,而是作为第三方插件方便安全渗透测试人员定制。该插件的下载地址为:http://yamagata.int21h.jp/tool/BurplikeInspector/,最新的版本为BurplikeInspector-ver0_02.zip。将其解压后,可以看到插件是一个dll文件,需要将该文件导入到指定文件路径下才可以使用,该路径为:%userprofile%\Documents\Fiddler2\Scripts。
图1 插件导入到制定文件夹下

  至此,启动Fiddler会自动弹出插件的对话框,若不小心将其关闭,可以在Rules菜单栏中找到该插件的功能入口。
图2 安装插件后Fiddler初始化页面

图3 插件可以在Rules菜单栏中重新唤起

  二、插件使用
  该插件模仿了Burpsuite Proxy工具的Intercept标签页的界面布局及功能效果。
图4 Burpsuite工具的Intercept标签页界面效果

  在安全渗透测试中经常需要对请求报文的参数进行替换并重放,以及在面对大量Payloads时需要使用自动化模块进行爆破操作,该插件刚好解决了原生Fiddler在重放、爆破、解码等安全渗透测试场景的不友好、不易用的问题。
  下面就该工具的功能进行详细的介绍。
图5 BurplikeInspector插件的界面效果

  1、Intercept标签页
  (1)、该插件可根据用户的需求进行开启和关闭,开启时开关状态为“Intercept On”表示正在拦截请求报文;关闭时开关状态为”Intercept Off“表示不再拦截请求报文,直接放行。
  (2)、当截获请求报文后,Forward和Drop按钮将高亮,两个按钮对应不同的处理动作,Forward表示将截获的请求放行至服务器;Drop表示丢弃该请求数据报文,服务器将收不到客户端发起的该请求。
  (3)、Action按钮,针对当前截获的报文发送到其他的处理模块进行改造,处理模块主要包括重放、爆破、解码等。

  2、repeater模块
  用户在截获请求并发送到repeater模块后,可以对该请求进行重放操作,用户可以任意修改其中的请求方法、请求头、请求体等内容,编辑完成后可以点击“Go”按钮,将修改后的请求发送至服务器,在窗口下方可以查看服务器的响应报文,同时在左侧列表中会生成一条该请求记录。另外,在渗透测试过程中可能会遇到一个功能可能需要多步请求的情况,这时需要定制一个请求序列,可以使用该功能将多个请求定制为会话宏。

......
查看更多精彩内容,请点击下载:
  版权声明:本文出自《51测试天地》第六十三期。51Testing软件测试网及相关内容提供者拥有51testing.com内容的全部版权,未经明确的书面许可,任何人或单位不得对本网站内容复制、转载或进行镜像,否则将追究法律责任。

评 论

论坛新帖



建议使用IE 6.0以上浏览器,800×600以上分辨率,法律顾问:上海信义律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2021, 沪ICP备05003035号
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪公网安备 31010102002173号

51Testing官方微信

51Testing官方微博

扫一扫 测试知识全知道