快速学会使用Fiddler抓包 截包伪造提交包

发表于:2018-7-02 16:34  作者:似水流年g   来源:博客园

字体: | 上一篇 | 下一篇 |我要投稿 | 推荐标签: fiddler 其他测试工具

  1、Fiddler介绍
  Fiddler是一个http协议调试代理工具,它能够记录并检查所有你的电脑,移动设备和互联网之间的http通讯,设置断点,查看所有的“进出”Fiddler的数据(指cookie,html,js,css等文件,这些都可以让你胡乱修改的意思)。 Fiddler 要比其他的网络调试器要更加简单,因为它不仅仅暴露http通讯还提供了一个用户友好的格式。它C#写出来的,它包含一个简单却功能强大的基于JScript .NET 事件脚本子系统,它的灵活性非常棒,可以支持众多的http调试任务,并且能够使用.net框架语言进行扩展。官网也有很多插件提供,搜索引擎也能搜索到很多的相关插件,如有需求可自行搜索.它的强大之处就是可以自由的拦截到HTTP/HTTPS请求并解析内容,这个过程不仅仅是查看请求而已,这个工具是可以支持设断点修改请求后并再原请求发送或响应的。这也是很多Web调试工具做不到的。能查看请求流量的工具很多,但是能断点修改包并伪造的较少。
    
  工作原理
    
  Fiddler是以代理WEB服务器的形式工作的,浏览器与服务器之间通过建立TCP连接以HTTP协议进行通信,浏览器默认通过自己发送HTTP请求到服务器,它使用代理地址:127.0.0.1, 端口:8888. 当Fiddler开启会自动设置代理, 退出的时候它会自动注销代理,这样就不会影响别的程序。不过如果Fiddler非正常退出,这时候因为Fiddler没有自动注销,会造成网页无法访问。解决的办法是重新启动下Fiddler。
  官方网站:https://www.telerik.com/fiddler  软件是支持免费使用的,原版是英文版,如有需要可自行搜索英文版。推荐使用英文版。
  快速下载地址:https://telerik-fiddler.s3.amazonaws.com/fiddler/FiddlerSetup.exe 
  2、安装软件
  先下载好安装包,安装前先检查电脑是否已经安装了.NET Framework 4.0及其以上的版本,如果没有安装点我,一般现在的windows系统都是安装了的。环境准备好后开始安装:
    
  操作步骤:I Agree>Install>OK  这个工具有一个反人类的东西就是安装完成没有自动在桌面生成快捷键,所以还需要在安装的时候注意安装路径并找到目录去手动创建快捷键。
  工具主页面:
    
  3、配置软件
  1.打开fiddler配置Tools –> Fiddler Options.
    
  2.打开HTTPS配置项,勾选“CaptureHTTPS Connects”,同时勾选“Decrypt Https Traffic”,弹出的对话框选择是(这里是安装fiddler自己的证书)如果跟我一样手机跟电脑是用wifi进行链接的话还需要选择“…fromremote clients only”。如果需要监听不可信的证书的HTTPS请求的话,需要勾选“Ignore servercertificate errors”。
    
  3.打开Conections配置项, 这里可以修改Fiddler代理端口号。勾选“Allow remote computersto connect。提示需要重启fiddler。
    
  4.配置HTTPS请求解析,也是非常6B的一项功能之一
  这里需要稍微写一点C#的代码(复制就好),找到工具的菜单栏 Ruler –>CustomizeRules 在函数OnBeforeResponse里面添加下面代码:
    
  if (oSession.oRequest["User-Agent"].indexOf("Android") > -1 && oSession.HTTPMethodIs("CONNECT")) {
  oSession.oResponse.headers["Connection"] = "Keep-Alive";
  }
  添加代码后的格式为:
  static function OnBeforeResponse(oSession: Session) {
  if (m_Hide304s && oSession.responseCode == 304) {
  oSession["ui-hide"] = "true";
  }
  if (oSession.oRequest["User-Agent"].indexOf("Android") > -1 && oSession.HTTPMethodIs("CONNECT")) {
  oSession.oResponse.headers["Connection"] = "Keep-Alive";
  }
  }
  添加完成后记得Ctrl+S保存并重启Fiddler工具,这个时候就可以解析HTTPS流量并拦截了。
  如在使用过程中出现了异常:creation of the root certificate was not successful
  找到Fiddler 的安装目录安装Shift+鼠标右键 选择菜单"在此处打开命令窗口"然后输入以下内容回车
  makecert.exe -r -ss my -n "CN=DO_NOT_TRUST_FiddlerRoot, O=DO_NOT_TRUST, OU=Created by http://www.fiddler2.com" -sky signature -eku 1.3.6.1.5.5.7.3.1 -h 1 -cy authority -a sha1 -m 120 -b 09/05/2012

上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。

2018年ISTQB高级认证测试经理在线培训全国首播,限免领取考试大纲>>
21/212>

评 论

论坛新帖

顶部 底部


建议使用IE 6.0以上浏览器,800×600以上分辨率,法律顾问:上海瀛东律师事务所 张楠律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2018, 沪ICP备05003035号
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪公网安备 31010102002173号

51Testing官方微信

51Testing官方微博

扫一扫 测试知识全知道