Android抓包方法(一) 之Fiddler代理

前言:

做前端测试,基本要求会抓包,会分析请求数据包,查看接口是否调用正确,数据返回是否正确,问题产生是定位根本原因等。

不管是之前做HTML5手机项目测试,还是现在的企邮app测试,经常需要抓包,做前端开发基本第一时间会想到Fiddler,的确Fiddler比较强大方便,本文主要以Android手机为例介绍通过Fiddler抓手机数据包,Iphone、Ipad、Win Phone等可设代理的手机,也均可用此方法。

转载请注明出处

作者:Findyou

地址:http://www.cnblogs.com/findyou/p/3491014.html

[目录]

1、抓包原理

2、方法优劣

3、准备工作

4、实例

5、其他

1、抓包原理

Fiddler是类似代理服务器的形式工作,它能够记录所有你的电脑和互联网之间的http(S)通讯,可以查看、修改所有的“进出”的数据。使用代理地址:127.0.0.1, 默认端口:8888。打开Fiddler会自动设置代理,正常退出会自动注销代理,非正常退出上不了网,重起一次Fiddler,或直接在IE里取消代理即可。

2、方法优劣

[优点]:

1).Fiddler操作简单、方便、功能强大

2).能实时抓包,可模拟修改请求

2).只需要手机支持代理即可

3).适用广,安卓、Iphone、Ipad、WinPhone等支持代理手机均适用

[缺点]:

1).电脑需要安装Fiddler

2).测试手机需要支持Wifi

3).测试手机与电脑需要同一网络

4).所测APP需支持代理

3、准备工作

1).检查电脑网络连接

a.使用同网络内的另一台电脑)ing本机,检查是否连通正常。

原因:我之前测HTML5项目就发现Fiddler代理抓不到包,手机设置均正确,后发现是网络内找不到本机,本机防火墙设置问题。

另外需要关注是否同一网络,如果手机GPRS等上网,你在局域网内抓包...哥觉得你可以改行了...

(约定:后文所述Fiddler所在电脑均称为本机)

2).Fiddler安装

a.下载地址: http://fiddler2.com/get-fiddler

b.安装:省略(下一步...下一步即可)

3).Fiddler配置

a.允许远程计算机连接Fiddler

菜单:Tools-> Fiddler Options->Connections,勾选"Allow remote computers to connect"

注:8888为默认端口号,可修改,但需注意两点,一是本机空闲端口,二是手机代理设置时端口要一致。

b.配置可捕获HTTPS请求(*不需要捕获HTTPS,则忽略此步*)

菜单:Tools-> Fiddler Options->Connections,勾选"Capture HTTPS CONNECTs"后

再勾选"Decrypt HTTPS traffic"、"Ignore server certificate errors"

注1:勾选项英文不认识,请Google,不另做解释

4).手机安装HTTPS证书(*不需要捕获HTTPS,则忽略此步*) 

a.首先确定Fiddler所在电脑的IP地址:例:192.168.8.8

b.打开被测手机浏览器,访问http://192.168.8.8:8888,点"FiddlerRoot certificate" 然后安装证书

注:Iphone、Ipad安装则很简单,点击安装即可。Android安装稍微麻烦点,则需要先设置手机锁屏密码、PIN码,安装证书时会提示,按步骤走即可。

4、实例

ThinkDrive抓包实例

一期测试时,涉汲到APP安全测试,因此需要查看传输数据是否存在明文密码等。

1).开启Fiddler,确定本机IP、Fiddler端口号

本机IP:192.168.8.8

Fiddler端口号:8888

2).手机连接本机所在同网络Wifi,设置代理

a.代理主机名:Fiddler所在电脑IP

b.代理服务器端口: Fiddler使用的端口

3).APP操作,生成请求数据

a.例:登录

b.例:退出登录

4).分析Fiddler抓包数据

a.例:登录请求分析

1).双击查看登录请求,选择WebForms或JSON等其他类标签,查看请求参数值,对照接口文档及你想要测试的点分析,请求是否正确,查看返回数据是否正确。

2).同帐号,不同密码;不同帐号,同密码等测试用例,测试多次登录后发现,密码仅为MD5加密,没有对密码进行很好的加密传输

3).分析存在以下问题:

问题1:帐号密码采用http传输,帐号与密码(MD5值)局域网可以捕获;

问题2:密码虽采用MD5加密,但传输未加密,简单密码可以在线解密(图中密码在线解密不到1秒:123qwe);

问题3:密码不解密也一样可以登录,通过A帐号在app登录,再用sniffer得到的B 帐号与密码(MD5值),使用Fiddler修改A帐号的请求完成B帐号在APP登录。

注1:Fiddler功能使用,请Google或百度,此处不详说

注2:以上实例仅为参考,具体测试,以所相关业务及测试目标为导向进行测试分析。

5、其他

本文虽主要对Android手机抓包举例,但其目的是说明,不管是电脑,还是手机,还是其他上网终端,都可以通过代理的方式来抓包(HTTS、HTTPS)。

时间: 2024-10-05 19:12:05

Android抓包方法(一) 之Fiddler代理的相关文章

Android抓包方法(转)

Android抓包方法(转) 作者:Findyou 地址:http://www.cnblogs.com/findyou/p/3491014.html 前言: 做前端测试,基本要求会抓包,会分析请求数据包,查看接口是否调用正确,数据返回是否正确,问题产生是定位根本原因等. 不管是之前做HTML5手机项目测试,还是现在的企邮app测试,经常需要抓包,做前端开发基本第一时间会想到Fiddler,的确Fiddler比较强大方便,本文主要以Android手机为例介绍通过Fiddler抓手机数据包,Ipho

Android抓包方法

0. Fiddler代理 1.tcpdump命令+wireshark工具 adb shell   #登入手机 su          #切换Root用户 /data/local/tcpdump -p -vv -s 0 -w /sdcard/ThinkDrive.pcap   #执行抓包命令,结果保存到SD卡ThinkDrive.pcap文件中 2.WireShark工具. 连接同一个网络,直接wireshark生产即可

J哥--------------------------分享好东西:android抓包工具fiddler使用介绍 抓取 手机APP 中资源。

本文地址:http://blog.csdn.net/u011733020 首先,写这个只是为了学习,不是要做什么违法的事情,如果有问题,有关部门 请联系我,立马删除. 不要查我水表. 正题:这里介绍 抓包的关键,Fiddler  ,Fiddler是一个http协议调试代理工具,它能够记录并检查所有你的电脑和互联网之间的http通讯. 我们就是用这款软件抓取 ,我们手机app 访问的 资源路径 的. 下面 我们拿实例 来演示下,怎么用fiddler 抓取数据.(以某拍为例吧). 环境: win7

Android端抓包方法

By:wangyz 最近这段时间研究抓包发包,汇编可能要推迟一些时间了 做手机测试的同学,肯定都要做一些手机端的抓包测试,看看数据包是否有错误,是否加密之类的,做外挂的也要抓来数据包做做分析. 一般抓包都是在PC机上搭个AP,用Wireshark抓,感觉那种方法有点略麻烦, 抓包环境 三星 GT-I8552 Android 4.1.2 百度云ROM 正式版V6(已ROOT) PC端(Windows XP) 1.正确安装手机驱动,手机端打开USB调试 2.Android手机需要先获得root权限.

[Android Pro] Android系统手机端抓包方法

抓包准备 1. 手机要有root权限 2. 下载tcpdump   http://www.strazzere.com/android/tcpdump 3. adb push c:\wherever_you_put\tcpdump /data/local/tcpdump 4. adb shell chmod 6755 /data/local/tcpdump 5, adb shell,   su获得root权限 6, cd /data/local 7, ./tcpdump -i any -p -s

iPhone上网络抓包方法详解

iPhone上网络抓包方法详解 Mac上常用抓包工具: Charles, Fiddler, Wireshark Wi-Fi环境下抓包 (以Charles为例) Mac和iPhone连接相同Wi-Fi 打开Charles,Help->Local IP Address 打开iPhone无线局域网设置, 选中连接的Wi-Fi, 配置代理,服务器输入步骤2中的ip地址,端口号默认8888 设置好之后,就可以在Charles中看到手机上的所有请求 Charles还有许多其他的功能,可以抓https请求,设

HttpCanary——最强Android抓包工具!

迎使用HttpCanary——最强Android抓包工具! HttpCanary是一款功能强大的HTTP/HTTPS/HTTP2网络包抓取和分析工具,你可以把他看成是移动端的Fiddler或者Charles,但是HttpCanary使用起来更加地简单容易,因为它是专门为移动端设计的!

iOS系统网络抓包方法

在进行iOS开发过程中,经常会遇到各种各样的网络访问问题,以前苦于没有抓包工具,很多网络问题解决起来很痛苦.现在终于好了,本文提供两种方式进行网络抓包: 1. 网络共享 + 可视化抓包工具 基本原理 原理比较简单,ios设备通过代理方式共享连接mac电脑的无线网卡,使用抓包工具抓包,然后进行分析(我们推荐使用Wireshark,在MAC系统上也可以使用Paros工具). 现在以MAC系统下Paros工具为例,详细描述下抓包过程: 操作步骤 1)  首先将MAC电脑的以太网共享给airport,使

安卓APP测试之使用Burp Suite实现HTTPS抓包方法

APP的测试重点小部分在APP本身,大部分还是在网络通信上(单机版除外).所以在安卓APP测试过程中,网络抓包非常重要,一般来说,app开发会采用HTTP协议.Websocket.socket协议,一般来说,HTTP协议最多,Websocket是后起之秀,socket最少,而针对HTTP和websocket,Burp Suite工具是最适合不过的工具了.但是在遇到了app使用SSL或TLS加密传输(https)的时候,由于证书不被信任,直接导致网络通信终端,抓包失败.本文介绍如何使用Burp s