抓包利器Fiddler
2015-08-21 01:33
232 查看
1).Fiddler安装
b.安装:省略(下一步...下一步即可)
2).Fiddler配置
a.允许远程计算机连接Fiddler
菜单:Tools-> Fiddler Options->Connections,勾选"Allow remote computers to connect"
注:8888为默认端口号,可修改,但需注意两点,一是本机空闲端口,二是手机代理设置时端口要一致。
b.配置可捕获HTTPS请求(*不需要捕获HTTPS,则忽略此步*)
菜单:Tools-> Fiddler Options->Connections,勾选"Capture HTTPS CONNECTs"后
再勾选"Decrypt HTTPS traffic"、"Ignore server certificate errors"
注1:勾选项英文不认识,请Google,不另做解释
3).手机安装HTTPS证书(*不需要捕获HTTPS,则忽略此步*)
a.首先确定Fiddler所在电脑的IP地址:例:192.168.8.8
b.打开被测手机浏览器,访问http://192.168.8.8:8888,点"FiddlerRoot certificate" 然后安装证书
注:Iphone、Ipad安装则很简单,点击安装即可。Android安装稍微麻烦点,则需要先设置手机锁屏密码、PIN码,安装证书时会提示,按步骤走即可。
ThinkDrive抓包实例
一期测试时,涉汲到APP安全测试,因此需要查看传输数据是否存在明文密码等。
1).开启Fiddler,确定本机IP、Fiddler端口号
本机IP:192.168.8.8
Fiddler端口号:8888
获取本机ip的方法:cmd->ipconfig
2).手机连接本机所在同网络Wifi,设置代理
a.代理主机名:Fiddler所在电脑IP
b.代理服务器端口: Fiddler使用的端口
3).APP操作,生成请求数据
通过操作APP实现的数据请求,如:
a.例:登录
b.例:退出登录
4).分析Fiddler抓包数据
a.例:登录请求分析
1).双击查看登录请求,选择WebForms或JSON等其他类标签,查看请求参数值,对照接口文档及你想要测试的点分析,请求是否正确,查看返回数据是否正确。
2).同帐号,不同密码;不同帐号,同密码等测试用例,测试多次登录后发现,密码仅为MD5加密,没有对密码进行很好的加密传输
3).分析存在以下问题:
问题1:帐号密码采用http传输,帐号与密码(MD5值)局域网可以捕获;
问题2:密码虽采用MD5加密,但传输未加密,简单密码可以在线解密(图中密码在线解密不到1秒:123qwe);
问题3:密码不解密也一样可以登录,通过A帐号在app登录,再用sniffer得到的B 帐号与密码(MD5值),使用Fiddler修改A帐号的请求完成B帐号在APP登录。
b.安装:省略(下一步...下一步即可)
2).Fiddler配置
a.允许远程计算机连接Fiddler
菜单:Tools-> Fiddler Options->Connections,勾选"Allow remote computers to connect"
注:8888为默认端口号,可修改,但需注意两点,一是本机空闲端口,二是手机代理设置时端口要一致。
b.配置可捕获HTTPS请求(*不需要捕获HTTPS,则忽略此步*)
菜单:Tools-> Fiddler Options->Connections,勾选"Capture HTTPS CONNECTs"后
再勾选"Decrypt HTTPS traffic"、"Ignore server certificate errors"
注1:勾选项英文不认识,请Google,不另做解释
3).手机安装HTTPS证书(*不需要捕获HTTPS,则忽略此步*)
a.首先确定Fiddler所在电脑的IP地址:例:192.168.8.8
b.打开被测手机浏览器,访问http://192.168.8.8:8888,点"FiddlerRoot certificate" 然后安装证书
注:Iphone、Ipad安装则很简单,点击安装即可。Android安装稍微麻烦点,则需要先设置手机锁屏密码、PIN码,安装证书时会提示,按步骤走即可。
ThinkDrive抓包实例
一期测试时,涉汲到APP安全测试,因此需要查看传输数据是否存在明文密码等。
1).开启Fiddler,确定本机IP、Fiddler端口号
本机IP:192.168.8.8
Fiddler端口号:8888
获取本机ip的方法:cmd->ipconfig
2).手机连接本机所在同网络Wifi,设置代理
a.代理主机名:Fiddler所在电脑IP
b.代理服务器端口: Fiddler使用的端口
3).APP操作,生成请求数据
通过操作APP实现的数据请求,如:
a.例:登录
b.例:退出登录
4).分析Fiddler抓包数据
a.例:登录请求分析
1).双击查看登录请求,选择WebForms或JSON等其他类标签,查看请求参数值,对照接口文档及你想要测试的点分析,请求是否正确,查看返回数据是否正确。
2).同帐号,不同密码;不同帐号,同密码等测试用例,测试多次登录后发现,密码仅为MD5加密,没有对密码进行很好的加密传输
3).分析存在以下问题:
问题1:帐号密码采用http传输,帐号与密码(MD5值)局域网可以捕获;
问题2:密码虽采用MD5加密,但传输未加密,简单密码可以在线解密(图中密码在线解密不到1秒:123qwe);
问题3:密码不解密也一样可以登录,通过A帐号在app登录,再用sniffer得到的B 帐号与密码(MD5值),使用Fiddler修改A帐号的请求完成B帐号在APP登录。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- MPI-Communication modes(通讯模式)
- 指南针控件iCompassX的使用【图文】
- HTML表单
- shell 终端字符颜色
- RubyGems 镜像
- 线程的生命周期
- phpcms获取auth_key漏洞
- Iocomp水箱控件iTankX的使用【图文】
- JSP缓存问题导致页面显示不全
- Objective-C
- easyVS
- 黑客帝国风格必备插件ProPowerTools
- 互联网创业公司的产品该怎么做?
- 4名学生5科成绩,有三个问题需解决(非常漂亮一题)
- Iocomp里程表控件iodometerX的使用【图文】
- Xcode6下iOS单元测试——XCTest和GHUnit框架简介和比较
- POJ 1364 King(非连通图的差分约束,经典好题)
- Visio绘制时序图
- Linux编辑器
- Iocomp进度条控件iLedbarX的使用【图文】