Fiddler抓包测试基础教程(fiddler抓包app教程)
liuian 2025-07-10 16:40 4 浏览
1.抓包概念
抓包就是将网络传输发送(请求)与接收(响应)的数据包进行截获、重发、编辑、转存等操作,也用来检查网络安全。
2.为什么抓包测试?(fiddler开源,C#)
1:有时候公司中接口文档某几个信息可能不详细,要测试这些接口的请求参数与响应结果,以及数据传输是否安全,那么可以通过抓包测试实现;
2:通过抓取数据请求,可以放到Jmeter中对服务器做压力或者接口测试;
3:通过抓包工具,可以分析接口的请求参数,响应结果,以及数据传输是否安全;
4:通过抓包工具,可以编辑请求或者响应,达到测试效果。
3.抓包测试原理
设置代理的通信过程
4.抓包工具Fiddler
4.1安装Fiddler
根据链接下载Fiddler:
https://www.telerik.com/download/fiddler
下载完成之后,按缺省选项安装
双击安装FiddlerSetup.exe
4.1.1findler界面
4.2设置Fiddler
Fiddler想要抓到数据包,要确保Capture Traffic是开启,在File –> Capture Traffic。开启后再左下角会有显示,当然也可以直接点击左下角的图标来关闭/开启抓包功能。
设置Fiddler
*点击Tools-->Options-->Connections-->勾选Allow remote computer to connect(允许远程设备连接到Fiddler上),端口号8888
以上设置之后只能抓取http协议的地址
* 在抓取http数据包设置的基础上进行以下的设置Fiddler抓取https数据包
Tools-->Options-->Https
勾选decrypt https traffic....> 可能会弹出安装证书的询问框(信任fiddler证书吗?)
* 如果不弹框,action-->reset all ca(重置 删除证书)
设置浏览器上网经过代理服务器(IE和谷歌会自动设置)
从Firefox 浏览器右上角首选项->常规->网络设置
注意:如果不选择也将此代理用于FTP和HTTPS默认只能抓取HTTP协议地址
设置手机上网经过代理服务器(模拟器/真机)
* 必须保证手机网络和电脑网络在同一个网络内(要么连接同一个wifi,要么电脑开wifi,手机连接)
*首先获取PC的ip地址:命令行中输入:ipconfig,获取ip地址
* 长按-->修改网络-->显示高级选项-->手动代理-->电脑ip和fiddler端口号
手机抓包https操作
* 在手机上下载Fiddler的安全证书并安装证书(在抓取http设置基础上)
浏览器上输入ip+端口号,进行证书下载安装
使用Android手机的浏览器打开:http://电脑ip:8888, 点“FiddlerRoot certificate” 然后安装证书。(最好用手机自带浏览器下载安装)
如图:
4.3.抓取app和web网页数据包
抓取app数据包
打开Fiddler,然后打开手机中app,Fiddler抓包如下:
抓取web数据包
打开Fiddler,然后打开浏览器,输入url,Fiddler抓包如下:
通过以上设置,可以进行http请求的抓取
* 以抓取 儿歌多多 为例-->http请求
http://bb.ergeduoduo.com
若出现乱码,点击提示
4.4.抓取内容的分析
Fiddler抓到的数据包的含义
名称
含义
#
抓取HTTP Request的顺序,从1开始,以此递增
Result
HTTP状态码
Protocol
请求使用的协议,如HTTP/HTTPS/FTP等
Host
请求地址的主机名
URL
请求资源的位置
Body
该请求的大小
Caching
请求的缓存过期时间或者缓存控制值
Content-Type
请求响应的类型
Process
发送此请求的进程:进程ID
Comments
允许用户为此回话添加备注
Custom
允许用户设置自定义值
Statistics 请求的性能数据分析
*随意点击一个请求,就可以看到Statistics关于HTTP请求的性能以及数据分析了
Inspectors 查看数据内容
*Inspectors是用于查看会话的内容,上半部分是请求的内容,下半部分是响应的内容:
4.5.AutoResponder 允许拦截指定规则的请求
AutoResponder允许你拦截指定规则的请求,并返回本地资源或Fiddler资源,从而代替服务器响应。 >> AutoResponder:文件代理【常用】。例如,将一个需要服务端返回的文件,使用本地文件做代理。
匹配规则,如:
我将“http://ergeduoduo.com”这个关键字与我电脑“C:\Users\jiangnengbao\Desktop\phone_bg.jpg”这张图片绑定了,点击Save保存后勾选Enable rules,再访问http://ergeduoduo.com,就会被劫持。
4.6.Composer 自定义请求发送服务器(接口测试)
Composer允许自定义请求发送到服务器,可以手动创建一个新的请求,也可以在会话表中,拖拽一个现有的请求 》》 n.(尤指古典音乐的) 创作者; 作曲者; 作曲家;
Parsed模式下你只需要提供简单的URL地址即可(如下图,也可以在RequestBody定制一些属性,如模拟浏览器User-Agent)
>> 前后端接口连调——Composer
选中一个接口——>拖拽到Composer面板;
准备工作:
接口请求方式、请求参数;
Get请求:参数直接写在接口里面
4.7.添加过滤器
Fiters 是过滤请求用的,左边的窗口不断的更新,当你想看你系统的请求的时候,你刷新一下浏览器,一大片不知道哪来请求,看着碍眼,它还一直刷新你的屏幕。这个时候通过过滤规则来过滤掉那些不想看到的请求。
勾选左上角的Use Filters开启过滤器,这里有两个最常用的过滤条件:Zone和Host
filter-->勾选use filter-->show only the following hosts(只展示下面的主机)-->填写主机名,号隔开
* 过滤器不使用的时候取消勾选
4.8.断点操作(篡改参数)
rules-->automatic breakpoints-->
* before request 请求之前 :修改请求方式 请求路径 请求头 请求参数等...
编辑请求的内容 查看对应的响应结果,来达到接口测试的目的
* after response 响应之后: 修改响应内容 响应头....
有时需要修改数据库中的数据,查看页面内容是否动态跟随改变,但是不是所有人都有数据库操作权限,此时可以借助断点编辑响应的内容 查看页面展示内容是否动态改变
断点可以查看app里面网络有没有重连机制,一个网络健壮的app是应该有重连机制的
4.9.模拟弱网
rules--->custome rules
搜索m_Simulate
if (m_SimulateModem) {
//每延迟300ms发送1kb的数据,也就是每1s发送3kb的数据
// Delay sends by 300ms per KB uploaded.
oSession["request-trickle-delay"] = "300";
//每延迟150ms下行1kb的数据
// Delay receives by 150ms per KB downloaded.
oSession["response-trickle-delay"] = "150";
}
网络取值的算法就是: 1000/下载速度 = 需要delay的时间(毫秒),比如50kb/s 需要delay20毫秒来接收数据。
1000/想要的速度(kb/s) = 延时毫秒值--->1000/50kb/s = 20ms
* fiddler限速的原理是通过延长请求/响应的时间进行上行 下行的限速
让规则起作用,打开规则
* rules-->performance-->勾选 Simulate Modem Speeds(启用限速规则)
请注意,当你存档之后,原本已经勾选的SimulateModem Speeds 会被取消勾选,要记得再到Rules → Performances → Simulate Modem Speeds 勾选喔!
4.10.moke测试 》》 它的主要作用是模拟一些在应用中不容易构造或者比较复杂的对象,从而把测试与测试边界以外的对象隔离开。
测试过程中往往遇到测试数据不全等问题,使用fiddler来作为代理对网络请求进行重定向来实现mock测试的功能。
重定向到本地数据,返回本地数据:
1. 编写本地数据(数据源根据具体接口来)
2. 选择目标消息,并且点击“AutoResponder”--》“Add Rule”,添加到右框中,并输入拦截链接。
3.导入本地数据
4.勾选三个选项
5.访问链接,返回本地数据
重定向到其他链接上:
1.只需要改动一步,在最下面一栏改成需要访问的链接即可
注意:不管是重定向到本地或其他链接都需要选中规则条目才能生效
抓包颜色锁的说明
》》》
使用fiddler抓包时,会看到左侧按照顺序显示session,并且前边有个图标,但通常,不知道图标是什么意思。
参考官方文档:UIGuide
这里尤其注意“锁图标”这里写图片描述,它用来标记,在网络环境受限时,为https建立http tunnel
· 响应是图片
使用fiddler抓包时,会看到左侧按照顺序显示session,并且前边有个图标,但通常,不知道图标是什么意思。
具体文档可以关注私信我哦,各种教程哦!
相关推荐
- 2023年最新微信小程序抓包教程(微信小程序 抓包)
-
声明:本公众号大部分文章来自作者日常学习笔记,部分文章经作者授权及其他公众号白名单转载。未经授权严禁转载。如需转载,请联系开百。请不要利用文章中的相关技术从事非法测试。由此产生的任何不良后果与文...
- 测试人员必看的软件测试面试文档(软件测试面试怎么说)
-
前言又到了毕业季,我们将会迎来许多需要面试的小伙伴,在这里呢笔者给从事软件测试的小伙伴准备了一份顶级的面试文档。1、什么是bug?bug由哪些字段(要素)组成?1)将在电脑系统或程序中,隐藏着的...
- 复活,视频号一键下载,有手就会,长期更新(2023-12-21)
-
视频号下载的话题,也算是流量密码了。但也是比较麻烦的问题,频频失效不说,使用方法也难以入手。今天,奶酪就来讲讲视频号下载的新方案,更关键的是,它们有手就会有用,最后一个方法万能。实测2023-12-...
- 新款HTTP代理抓包工具Proxyman(界面美观、功能强大)
-
不论是普通的前后端开发人员,还是做爬虫、逆向的爬虫工程师和安全逆向工程,必不可少会使用的一种工具就是HTTP抓包工具。说到抓包工具,脱口而出的肯定是浏览器F12开发者调试界面、Charles(青花瓷)...
- 使用Charles工具对手机进行HTTPS抓包
-
本次用到的工具:Charles、雷电模拟器。比较常用的抓包工具有fiddler和Charles,今天讲Charles如何对手机端的HTTS包进行抓包。fiddler抓包工具不做讲解,网上有很多fidd...
- 苹果手机下载 TikTok 旧版本安装包教程
-
目前苹果手机能在国内免拔卡使用的TikTok版本只有21.1.0版本,而AppStore是高于21.1.0版本,本次教程就是解决如何下载TikTok旧版本安装包。前期准备准备美区...
- 【0基础学爬虫】爬虫基础之抓包工具的使用
-
大数据时代,各行各业对数据采集的需求日益增多,网络爬虫的运用也更为广泛,越来越多的人开始学习网络爬虫这项技术,K哥爬虫此前已经推出不少爬虫进阶、逆向相关文章,为实现从易到难全方位覆盖,特设【0基础学爬...
- 防止应用调试分析IP被扫描加固实战教程
-
防止应用调试分析IP被扫描加固实战教程一、概述在当今数字化时代,应用程序的安全性已成为开发者关注的焦点。特别是在应用调试过程中,保护应用的网络安全显得尤为重要。为了防止应用调试过程中IP被扫描和潜在的...
- 一文了解 Telerik Test Studio 测试神器
-
1.简介TelerikTestStudio(以下称TestStudio)是一个易于使用的自动化测试工具,可用于Web、WPF应用的界面功能测试,也可以用于API测试,以及负载和性能测试。Te...
- HLS实战之Wireshark抓包分析(wireshark抓包总结)
-
0.引言Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接...
- 信息安全之HTTPS协议详解(加密方式、证书原理、中间人攻击 )
-
HTTPS协议详解(加密方式、证书原理、中间人攻击)HTTPS协议的加密方式有哪些?HTTPS证书的原理是什么?如何防止中间人攻击?一:HTTPS基本介绍:1.HTTPS是什么:HTTPS也是一个...
- Fiddler 怎么抓取手机APP:抖音、小程序、小红书数据接口
-
使用Fiddler抓取移动应用程序(APP)的数据接口需要进行以下步骤:首先,确保手机与计算机连接在同一网络下。在计算机上安装Fiddler工具,并打开它。将手机的代理设置为Fiddler代理。具体方...
- python爬虫教程:教你通过 Fiddler 进行手机抓包
-
今天要说说怎么在我们的手机抓包有时候我们想对请求的数据或者响应的数据进行篡改怎么做呢?我们经常在用的手机手机里面的数据怎么对它抓包呢?那么...接下来就是学习python的正确姿势我们要用到一款强...
- Fiddler入门教程全家桶,建议收藏
-
学习Fiddler工具之前,我们先了解一下Fiddler工具的特点,Fiddler能做什么?如何使用Fidder捕获数据包、修改请求、模拟客户端向服务端发送请求、实施越权的安全性测试等相关知识。本章节...
- fiddler如何抓取https请求实现手机抓包(100%成功解决)
-
一、HTTP协议和HTTPS协议。(1)HTTPS协议=HTTP协议+SSL协议,默认端口:443(2)HTTP协议(HyperTextTransferProtocol):超文本传输协议。默认...
- 一周热门
-
-
Python实现人事自动打卡,再也不会被批评
-
【验证码逆向专栏】vaptcha 手势验证码逆向分析
-
Psutil + Flask + Pyecharts + Bootstrap 开发动态可视化系统监控
-
一个解决支持HTML/CSS/JS网页转PDF(高质量)的终极解决方案
-
再见Swagger UI 国人开源了一款超好用的 API 文档生成框架,真香
-
网页转成pdf文件的经验分享 网页转成pdf文件的经验分享怎么弄
-
C++ std::vector 简介
-
系统C盘清理:微信PC端文件清理,扩大C盘可用空间步骤
-
10款高性能NAS丨双十一必看,轻松搞定虚拟机、Docker、软路由
-
python使用fitz模块提取pdf中的图片
-
- 最近发表
- 标签列表
-
- python判断字典是否为空 (50)
- crontab每周一执行 (48)
- aes和des区别 (43)
- bash脚本和shell脚本的区别 (35)
- canvas库 (33)
- dataframe筛选满足条件的行 (35)
- gitlab日志 (33)
- lua xpcall (36)
- blob转json (33)
- python判断是否在列表中 (34)
- python html转pdf (36)
- 安装指定版本npm (37)
- idea搜索jar包内容 (33)
- css鼠标悬停出现隐藏的文字 (34)
- linux nacos启动命令 (33)
- gitlab 日志 (36)
- adb pull (37)
- table.render (33)
- python判断元素在不在列表里 (34)
- python 字典删除元素 (34)
- vscode切换git分支 (35)
- python bytes转16进制 (35)
- grep前后几行 (34)
- hashmap转list (35)
- c++ 字符串查找 (35)