使用Fiddle监听HTTPS网页

HTTPS相对于HTTP增加了安全性,但是仍然不能有效的防止中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”)

这就使得Fiddle工具能够有效的监听HTTPS流量

一个HTTPS网站的正常访问流程是这样的

中间人攻击在于对浏览器加入自己的CA,伪造数字证书,对流量进行转发

加入自己的CA是为了让伪造的数字证书变得可信,欺骗过浏览器

伪造数字证书是为了监听HTTPS 交互的具体内容

下面俩个图给出了中间人攻击的HTTPS的请求和响应两个阶段

中间人攻击的最重要一环在于把自己的CA放入浏览器中,方法有很多,比如:病毒、木马、社会工程学......

好了,原理简单的讲完了,接下来我们来设置Fiddle

首先下载Fiddle

下载地址:http://www.telerik.com/download/fiddler

至于下载哪个版本

win7以及之前的XP建议下载.net2版本,win8/8.1以及之后的版本建议下载.net4版本

原因在于:win7内置.net2,xp可以安装.net2,win8/8.1内置.net4版本

笔者这里安装.net4版本的

下载之后是fiddler4setup.exe,双击安装不用说

接下来看配置

打开Fiddle

Tools[工具]-->Fiddler Options...[Fiddle 选项...]-->HTTPS-->勾选Decrypt HTTPS traffic[解密HTTPS流量]

Tools[工具]-->Fiddler Options...[Fiddle 选项...]-->Connections-->勾选Allow remote computers to connection[允许远程计算机连接]

设置好后关闭重启Fiddle

接下来我们为浏览器导入证书

浏览器打开http://127.0.0.1:8888/

在Fiddle Echo Service页面中点击FiddlerRoot certificate,然后根据浏览器提示导入证书

监听安卓客户端时,需要通过电脑设置wifi热点,任何安卓手机连接上改热点,证书下载地址的IP改成网关的IP

ip一般都可以通过ipconfig命令查出来

笔者查询的结果如下

C:\Windows\system32>ipconfig

Windows IP 配置

无线局域网适配器 WLAN 3:

   连接特定的 DNS 后缀 . . . . . . . :
   本地链接 IPv6 地址. . . . . . . . : fe80::481a:1efd:d5d4:a87b%23
   IPv4 地址 . . . . . . . . . . . . : 192.168.253.1
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . :

无线局域网适配器 WLAN:

   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . :

以太网适配器 以太网:

   连接特定的 DNS 后缀 . . . . . . . :
   本地链接 IPv6 地址. . . . . . . . : fe80::7495:5b85:a10c:3cb7%3
   IPv4 地址 . . . . . . . . . . . . : 172.18.62.201
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : 172.18.62.1

以太网适配器 VMware Network Adapter VMnet8:

   连接特定的 DNS 后缀 . . . . . . . :
   本地链接 IPv6 地址. . . . . . . . : fe80::5919:851f:5249:17f1%21
   IPv4 地址 . . . . . . . . . . . . : 192.168.116.1
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . :

隧道适配器 isatap.{784B4179-BA1C-4521-9B8D-F8E29487D30B}:

   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . :

隧道适配器 isatap.{0FF64FC6-5250-4E80-8D12-902E97461A8E}:

   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . :

隧道适配器 isatap.{2B3C716B-2A34-478D-A21F-FE38734BC6BF}:

   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . :

C:\Windows\system32>

对应的IP地址为192.168.253.1,所以安卓客户端访问的地址为

http://192.168.253.1:8888/

安卓访问的界面

同样是点击FiddlerRoot certificate,然后按提示导入证书,证书名字自己随便起一个

别以为这样就完了接下来还要设置HTTP/HTTPS代理,虽然Fiddle说这个代理是HTTP代理,实际上并不准确,这个代理对不能代理的协议也实现了转发(个人觉得是直连),比如QQ和微信客户端就没有使用HTTP代理

代理设置大同小异

对于本机,127.0.0.1:8888 协议类型HTTP/HTTPS

对于安卓客户端,192.168.253:8888 协议类型HTTP/HTTPS

设置完成后抓几个HTTPS的报文

时间: 2024-10-08 09:50:21

使用Fiddle监听HTTPS网页的相关文章

fiddler4监听https

配置就不多说了,直接上图. 关键点在与我创建的时候应该是由于windows权限原因,和根证书一直找不到的原因前后提示了: creation of the root certificate was not successful Failed to find the root certificate in User Root List The Root certificate could not be found. 最后的问题是root certificate没有,找了半天才在fiddler官方网站

nginx同一端口监听多个域名和同时监听http,https

1.同一端口监听多个域名 如今公网ip资源越来越珍贵,多域名监听应用非常广泛,就是用一个端口,比如80或者443,监听多个入口域名.如下: server {        listen 443 ssl;        server_name  xxx.xxx.cn;        ssl_certificate         ssl/server.pem;        ssl_certificate_key  ssl/server.key; ...... } 在启用新的域名的时候,只需要另启

简述Java中Http/Https请求监听方法

一.工欲善其事必先利其器 做Web开发的人总免不了与Http/Https请求打交道,很多时候我们都希望能够直观的的看到我们发送的请求参数和服务器返回的响应信息,这个时候就需要借助于某些工具啦.本文将采用Fiddler2作为分析工具,Fiddler很强大,它能记录所有客户端和服务器的http和https请求,允许你监视,设置断点,甚至修改输入输出数据,是越墙抓包之利器.关于工具的介绍可以参考下面的链接: http://www.cnblogs.com/TankXiao/archive/2012/02

从网页监听Android设备的返回键

最近搞Android项目的时候,遇到一个比较蛋疼的需求,需要从Client App调用系统浏览器打开一个页面,进行杂七杂八的一些交互之后,返回到App.如何打开浏览器和如何返回App这里就不说了,有兴趣的童鞋可私下交流. 之所以说这个需求蛋疼,是因为Android有个物理返回键啊……返回键啊……键啊……啊…… 用户按下返回键后,预期应该跟点击页面上的返回键一样——返回App.然而这个返回键的被按下的时候网页完全不知道啊(onbeforeunload不算),找不到直接的办法去监听,愁死我们这全苦逼

微信浏览器返回刷新,监听微信浏览器返回事件,网页防复制

以下代码都经过iphone7,华为MT7 ,谷歌浏览器,微信开发者工具,PC端微信验证.如有bug,还请在评论区留言. demo链接:https://pan.baidu.com/s/1c35mbjM 密码:5yyf 1.移动端微信浏览器返回刷新事件,在返回后的页面上加上以下代码: <script type="text/javascript"> $(function () { var isPageHide = false; window.addEventListener('p

HTTPS 协议与监听方法

现在越来越多的网站开始使用 HTTPS,为了分析网站,有时就需要使用监听工具来记录网站的 HTTPS 请求. 最常用的工具当然是 Chrome DevTools,可有的时候我们需要分析非 Web 应用的请求,这时就只能用其他的方法了. 对于明文的 HTTP 协议,我们可以直接使用网络嗅探工具 Wireshark 进行抓包分析. 可现在大家基本都开始拥有了一定的安全意识,HTTPS 已经成为主流,甚至连内网大家也要搞零信任安全架构. 这种情况下,我们就只能使用网络代理工具,以中间人的身份进行请求分

如何监听第三方应用程序(SOAP or RESTful 客户端)访问HTTPS网站时的数据?

随着互联网的应用越来越多,在我们的日常开发和调试当中(比如调试SOAP和RESTFul的时候),我们常常需要访问用第三方的工具访问HTTPS的网站,为了简化描述,本文使用IE浏览器访问Google 提供的https://www.googleapis.com/discovery/v1/apis RESTful服务为例,注意这个是基于https协议的访问,如果用第三方的嗅探工具,比如wiresharp,即使我们能把http的数据包抓到,显示出来的内容也是乱码,因为传送的内容经过了加密,而加密的私钥就

EventFiringWebDriver网页事件监听(一)

Selenium提供了很多的event listening functions来跟踪脚本执行过程中的events. How it works? 在注册了listener的webDriver里面,这些listener可以listen events.events可以是任何类型的event 或者 action,比如element click,改变输入框的值,甚至是exceptions. To enable this feature: 1. 创建用户自定义的Event listener class. 2

记录一次处理https监听不正确的过程

今天开发反馈在测试金山云设备的时候遇到了这样的一个现象: wget https://funchlscdn.lechange.cn/LCLR/2K02135PAK01979/0/0/20170726085033/dev_20170726085033_lpxh73ezzb92xxa8.m3u8  --2017-07-26 11:49:26--  https://funchlscdn.lechange.cn/LCLR/2K02135PAK01979/0/0/20170726085033/dev_201