fiddler抓包HTTPS请求

fiddler抓包HTTPS请求

标签: fiddlerhttps抓包

2016-03-29 21:24 23293人阅读 评论(2) 收藏 举报

 分类:

不登高山不知天之高也(1) 

版权声明:本文为高绍臣原创文章,转载请注明出处,本文博客地址:http://blog.csdn.net/gaoshaochen。

目录(?)[-]

  1. fiddler抓包HTTPS请求
    1. 教程开始
      1. 安装fiddler
      2. 配置fiddler
      3. 配置手机
      4. 抓包截图
    2. 让我们想想

fiddler抓包HTTPS请求

跟着教程来,保证100%成功抓HTTPS包

教程开始

安装fiddler

首先准备一台可以上网的windos电脑,准备一部智能手机。 
fiddler抓包工具:下载地址( 自行百度一搜一大片)。安装,打开如果遇到.net framework错误,下载一个高本版的.net 即可。好了教程已经完成了一大半。 
打开fiddler随便打开下浏览器。发现已经可以抓包,但想要抓手机https还需要做一些设置。 

配置fiddler

  1. 打开fiddler配置Tools –> Fiddler Options. 
  2. 打开HTTPS配置项,勾选“CaptureHTTPS CONNECTs”,同时勾选“Decrypt HTTPS traffic”,弹出的对话框选择是(这里是按照fiddler自己的证书)如果跟我一样手机跟电脑是用wifi进行链接的话还需要选择“…fromremote clients only”。如果需要监听不可信的证书的HTTPS请求的话,需要勾选“Ignore servercertificate errors”。 
  3. 打开Conections配置项, 这里可以修改Fiddler代理端口号。勾选“Allow remote computersto connect。提示需要重启fiddler。 
  4. 哈哈,高端的来了,需要写点代码。这里是为了可以抓客户端使用httpURLConnection的包。 
    Ruler –>CustomizeRules 
    在函数OnBeforeResponse里面添加下面代码:
if (oSession.oRequest["User-Agent"].indexOf("Android") > -1 && oSession.HTTPMethodIs("CONNECT")) {
            oSession.oResponse.headers["Connection"] = "Keep-Alive";
}
  • 1
  • 2
  • 3
  • 1
  • 2
  • 3

添加后代码为:

static function OnBeforeResponse(oSession: Session) {
        if (m_Hide304s && oSession.responseCode == 304) {
            oSession["ui-hide"] = "true";
        }
        if (oSession.oRequest["User-Agent"].indexOf("Android") > -1 && oSession.HTTPMethodIs("CONNECT")) {
            oSession.oResponse.headers["Connection"] = "Keep-Alive";
        }
    }
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8

不要忘记重启fiddler!!!

配置手机

保证手机跟pc是在同一个网段下。 
配置手机连接的wifi,可能每个手机打开wifi配置的方式都不太一样,仔细研究下,选择已经连接的网络,打开修改网络窗口。显示高级属性,配置网络代理–>手动 代理服务器主机名:填写pc机的IP地址即可例如:192.168.0.4,代理服务器端口号:fiddler的代理端口号,如果没有修改就是8888。 
关键步骤哈: 
下载安装fiddler的证书 
 
在手机浏览器打开 代理服务器:端口号 例如上面填写的就是192.168.0.4:8888,点击页面中的“FiddlerRootcertificate”链接,在弹出的对话框中随便设置一个名称确定即可。

抓包截图

测试机上没装多少软件,打开百度钱包来试试 

好了。大功告成!

让我们想想

通过fiddler可以抓包,是不是说https就是不安全的了呢,毕竟所有的请求对我们来说都是透明的呢。其实刚才的过程很重要的一点就是我们下载并且安装了fiddler的根证书,对于pc端来说就是配置fiddler https选项时弹出的对话框,对于手机来说就是我们去 pcip地址:fiddler代理端口这个地址下载证书的过程。 
而对https的安全来说,https安全的前提就是可信的根证书!!!! 
而,之前的操作无疑是在我们系统里面安装了不可信的根证书。使得fiddler对我们的通信造成了中间人攻击!。 
简单的说就是我们与服务器进行通信,会先获取服务器的证书,进行校验校验过程是用本地的可信根证书进行校验,而装入fiddler的根证书后,fiddler可以伪造证书,获取我们与服务器通信的秘钥,进行破解我们的通信。所以对我们我们系统来说安装证书是一个多么危险的操作! 
哐哐哐!!查水表!!!

2
时间: 2024-10-07 06:29:30

fiddler抓包HTTPS请求的相关文章

Fiddler抓取https请求 & Fiddler抓包工具常用功能详解

大家好,我是TT,互联网测试行业多年,没有牛逼的背景,也没有什么可炫耀的,唯独比他人更努力,在职场打拼.遇到过的坑,走过的弯路,愿意与大家分享,分享自己的经验,少走弯路.首发于个人公众号[测试架构师] 原文如下: 先来看一个小故事: 小T在测试APP时,打开某个页面展示异常,于是就跑到客户端开发小A那里说:"你这个页面做的有问题,页面展示异常":小A说:"这哪是我的问题,你去找后台吧,后台接口返回数据有问题":小T就屁颠屁颠的跑到后台接口开发小M那里说:"

fiddler抓取https请求(android/ios)

本文转载自:http://blog.csdn.net/songer_xing/article/details/53841401 备注:本人有这样的一个需求,先记录下,以后再进行整理. 在抓包过程中发现小米5MIUI7系统无法安装Fiddler的证书,百般尝试无果,最后换了一个测试手机,可以安装成功,实现了:Fiddler抓取安卓手机HTTPS请求!!! 在测试过程中,抓包是必不可少的测试分析手段,Fiddler不但能截获PC端数据包, 也可以截获移动端的.特别是你对某些api接口不是很理解或不知

fiddler抓取HTTPS请求

Https即 Http over ssl,使用ssl加密传输数据,Http是明文传输数据的,所以Https必然比Http更安全.即使传输数据被劫持,劫持者也无法获取传输明文.从而保证了系统的安全性,尤其对于交易支付类业务来说,https的安全性尤为重要. 作为测试免不了会使用工具抓取请求,但是fiddler默认置灰抓取http请求,那么如何抓取HTTPS请求呢,下面根据自己的使用总结一下如何使用fiddler抓取HTTPS请求: 前置:fiddler可以抓取http请求 一.fiddler如何抓

如何使用fiddler抓取https请求(PC和移动端)

最近做一个抓取移动端app接口,并执行评论,收藏的接口功能测试.愁的失眠,怎么搞/(ㄒoㄒ)/~~ 老思路,第一步还是要用fiddler来帮忙获取接口信息! 一.基本的抓取http请求设置: 1.cmd/ipconfig获取本机ip地址 2.手机开启wifi,设置代理,服务器为:本机ip地址,端口号:8888 3.fiddler设置允许远程连接(满大街都是,自己搜) 4.打开app,点击操作,抓包! oh,shit!  竟然抓不到,什么鬼! 仔细一想我的这里基本都是https连接,无奈,百度,重

Fiddler抓包6-get请求(url详解)

前言 上一篇介绍了Composer的功能,可以模拟get和post请求,get请求有些是不带参数的,这种比较容易,直接放到url地址栏就行.有些get请求会带有参数,本篇详细介绍url地址格式. 一.url详解 1.url就是我们平常打开百度在地址栏输入的:https:www.baidu.com,如下图,这个是最简单的url地址,打开的是百度的主页 2.再看一个稍微复杂一点的url,在百度输入框输入:上海悠悠博客园 3.查看url地址栏,对比之前的百度首页url地址,后面多了很多参数.当然最主要

Fiddler 抓包https配置 提示creation of the root certificate was not successful 证书安装不成功

在使用Fiddler抓包时,我们有时需要抓https协议的包,这种需要配置一下 开启监控https才可以 首先 找到Tools——>Options 在弹出的菜单中 选择https项  勾选捕捉https 这样配置完OK之后 一般会弹窗提示安装证书,点击安装,然后重启Fiddler即可. 但有时候没有弹窗安装证书或根本就没有提示,这种情况一般在Win7中较多出现,Win7的系统https方面 在.net Framework4.0上有bug 网上搜罗一番之后解决方案是 1.cmd 命令行   找到f

Fiddler抓取HTTPS请求配置

由于fiddler安装后默认只能抓取http请求,如果需要抓取https请求需要进行配置.配置方式:Tools--->Options--->HTTPS,勾选CaptureHTTPS CONNECTs.Decrypt HTTPS traffic .ignore server certificate errors(unsafe),点击OK,会弹出证书直接确认即可. 此时,在电脑chrome浏览器上就可以访问https的请求了,且fiddler会话列表上就可以显示出https请求.在配置移动端证书之

Fiddler抓包7-post请求(json)

前言上一篇讲过get请求的参数都在url里,post的请求相对于get请求多了个body部分,本篇就详细讲解下body部分参数的几种形式. 一.body数据类型 常见的post提交数据类型有四种: 1.第一种:application/json:这是最常见的json格式,也是非常友好的深受小伙伴喜欢的一种,如下 {"input1":"xxx","input2":"ooo","remember":false}

fiddler 抓包post请求body参数在jmeter中的书写

jmeter请求一直报错,最后查出来是请求参数的格式写错了,醉了 记录一下,以防我再次健忘 fidder抓包显示详情 jmeter 请求body data参数书写直接法制fiddler里TextView里的内容即可 类似这种请求数据格式还可以把这些参数写在parameters里如: 总结:先查看fiddler里的body是不是json格式,不是的话,直接采用本文所说的方式即可:如果是,那就采用网上说的json格式 http://blog.csdn.net/lluozh2015/article/d