安全测试工具

抓包工具Fiddler：

Fiddler是位于客户端和服务器端之间的代理，也是目前最常用的抓包工具之一 。它能够记录客户端和服务器之间的所有 请求，可以针对特定的请求，分析请求数据、设置断点、调试web应用、修改请求的数据，甚至可以修改服务器返回的数据，功能非常强大，是web调试的利器。

Fiddler工作原理：

Fiddler Web Server

• 电脑访问服务器request 时通过fiddler中间这个代理发出来的请求fiddler就抓到了然后请求完了之后服务器返回内容response（就是返回的内容）应答的时候fiddler进行了拦截这是就把服务器返给电脑的数据记录下来然后再返回电脑的浏览器就这样一去一回就这样fiddler就把发送出去的请求以及应答的数据包都获取到，就这样可以看到电脑和服务器的会话是什么样子。
• 打开fiddler的时候会自动给你的电脑创建一个系统代理，监听的端口是8888.这个也可以修改不过一般不用动他，电脑和服务器的请求会通过这个监听端口的代理发送出去fiddler就可以抓取到发出去和应答的包，作为客户端和服务器的桥梁，可以通过他们之间的信息进行解析之后以回话的形式呈现给我们！我们把发出去和返回的过程在fiddler称为会话！
• 代理了之后和平时其实一样正常访问就可以了，唯一的区别就是把这些访问都显示在了fiddler的回话面板上，我们把这一个会话称为数据包，正是一个个数据包的发送和接受组成了我们的网络访问。在fiddler关闭的时候这个代理会自动取消这个代理。回复系统的原貌。

Fiddler的安装与配置：

官网下载地址是
https://www.telerik.com/download/fiddler

Fiddler 是一个抓包工具，默认是抓 http 请求的，对于 pc 上的 https 请求，会提示网页不安全，这时候需要在浏览器上安装证书。

1.打开菜单栏：Tools>Fiddler Options>HTTPS

2.勾选 Decrypt HTTPS traffic，里面的两个子菜单也一起勾选了

3.点右上角 Actions 按钮，选第二个选项，导出到桌面，此时桌面上会多一个文件：FiddlerRoot.cer。

4.打开Chrome浏览器右上角的设置->隐私设置与安全性->更多->管理证书->个人->导入 证书信任点击【Yes】

5.成功导入证书，可以抓取HTTPS请求

Fiddler的页面：

见接口测试概述及测试工具使用第七部分

1.第一块区域是设置菜单

2.第二块区域是一些快捷菜单，可以点下快捷功能键

3.第三块左边是抓捕的请求会话列表，每一个请求就是一个会话

4.第四块右边上方区域是 request 请求的详细信息，可以查看 headerd、cookies、raw、json等

5.第五块右边下方区域就是 response 信息，可以查看服务端返回的 json 数据或其它信息

6.第六块区域左下角黑色区域，是命令行模式，可以输入简单的指令如：cls，执行清屏的作用等

Fiddler分析请求数据：

• Request 是客户端发出去的数据，Response 是服务端返回过来的数据。通过查看发送与返回数据确认敏感数据进行加密等操作。

• headers:请求头，这里包含 client、cookies、transport 等
• webfroms：请求参数信息表格展示，更直观。可以直接该区域的参数
• Auth:授权相关，如果现实如下两行，说明不需要授权 No Proxy-Authorization Header is present. No Authorization Header is present.
• cookies:查看 cookie 详情
• raw:查看一个完整请求的内容，可以直接复制
• json:查看 json 数据
• xml:查看 xml 文件的信息