fiddler

本文由玄魂和 方块K 合写。 不太愿意跟风写类似的文章，网友“方块K” 投了一篇相关文章过来，但是略显简略，我重新进行了扩展。 参考了网上的相关文章，自己重新做 实验，算不上原创。 1.1 简介 2017年9月5日，Apache Struts发布最新安全公告，Apache Struts2的REST插件存在远程代码执行的高危漏洞，该漏洞由lgtm.com的安全研究员汇报，漏洞编号为CVE-2017-9805（S2-052）。Struts2 REST插件的XStream组件存在反序列化漏洞，使用XStream组件对XML格式的数据包进行反序列化操作时，未对数据内容进行有效验证，存在安全隐患，可被远程攻击。 参考： https://cwiki.apache.org/confluence/display/WW/S2-052 https://lgtm.com/blog/apache_struts_CVE-2017-9805 1.2 漏洞分析 根据补丁分析， 构造相对应的漏洞检测数据包。使用调试工具分析，发现Action经过REST插件处理时会被ContentTypeInterceptor这个类拦截，进入intercept方法如下图所示： 这个Intercept拦截方法很重要，分三步： 第一步：getHandlerForRequest方法会判断提交的请求类型

前言 APP端抓包中， 设置抓包代理后会发现部分APP（如app store、Facebook）直接无法访问，其他部分app又功能正常，为什么呢？这涉及 ssl-pinning，证书锁定。 证书锁定（SSL/TLS Pining），顾名思义，将服务器提供的SSL/TLS证书内置到移动端开发的APP客户端内，当客户端发起请求时，通过对比内置的证书和服务器端证书的内容，以确定这个链接的合法性。 HTTPS与中间人攻击 HTTPS HTTPS实际上是由HTTP协议与TLS协议组合而成的一个协议。 TLS协议作用于HTTPS建议客户端与服务端通信建立信任的过程；HTTP协议作用于客户端与服务端的正式通信过程，二者通信的数据是被TLS协议最终生成的密钥加密过。 HTTPS建立连接过程会生成三个随机数，通过这三个随机数，客户端与服务端能够使用相同的算法生成后续HTTP通信过程中对接加密算法使用的密钥。 HTTPS协议中，非对称加密只是在协议建立的过程，协议建立后使用的是对称加密。 中间人攻击 市面上的抓包软件的实现原理就是中间人攻击。 TLS建立连接时，客户端生成的随机数1、服务端生成的随机数2都是明文，只有随机数3使用非对称加密技术加密。 中间人攻击的关键是截获服务器返回的证书并伪造证书发送给客户端骗取信任，获取随机数3，进而达成盗取信息的目的 。 客户端校验证书合法性的三种方式

Fiddler的基本功能介绍： Fiddler是最强大最好用的Web调试工具之一，它能记录所有客户端和服务器的http和https请求，允许你监视，设置断点，甚至修改输入输出数据，Fiddler包含了一个强大的基于时间脚本的子系统，并且能使用.NET语言进行扩展。对HTTP协议越了解，就能越掌握Fiddler的使用方法。越使用Fiddler，就越能帮助了解HTTP协议。Fiddler无论对开发人员或者测试人员来说，都是非常有用的工具。 Fiddler的工作原理：Fiddler是以代理web服务器的形式工作的，它使用代理本地地址：127.0.0.1，端口xxxx，如下图所示。 能支持 HTTP代理的任意程序的数据包都能被 Fiddler嗅探到， Fiddler的运行机制就是本机上监听 Fiddler中设置的端口的 HTTP代理。 1 android 手机和fiddler连接： 下载地址：Fiddler.exe， http://www.telerik.com/download/fiddler 做开发需要抓取手机app的http/https的数据包，想看APP发出的http请求和响应是什么，这就需要抓包了，这可以得到一些不为人知的api，比如还可以干些“坏事”，比如那年微信发红包看照片，就通过接口抓包成功破解，不用发红包即可看照片。 需要工具：Fiddler抓包软件，下面介绍使用步骤

一、进行接口测试准备的东西 1.接口测试工具：apipost、jmeter等 2.接口文档，没有接口文档就用接口信息获取工具 3.接口信息收取工具：fiddler抓包工具、浏览器开发者工具（f12）等 二、web接口测试需要获取的东西 web接口测试需要知道的三个条件 1.请求方式：get、post、put、patch、delete等 2.url地址：分为http请求和https是请求，如： http://www.baidu.com和https://www.baidu.com 3.body传递的参数：一般是以json的格式传递参数如："name":"xiaoming","pwd":"123"。一般以post传递参数请求为多。 三、fiddler抓包工具 fiddler是由 C# 开发的最强大好用的免费web调试工具之一，可记录所有客户端和服务见的 http 以及 https 请求，可监视设断点，甚至修改输入输出数据，它还包含了一个强大的基于事件脚本的子系统，并且能使用 .net 语言来拓展。 fiddler就是通过我们对网页的操作使用而进行的接口信息的抓取的。抓取之后按照上面需求的请求方法、url和body来查找需要的数据。 这是一个简单的登录请求被fiddler抓取到的信息，我们可以用到的分别是： 1.Protocol请求类型：http或https。这里是http 2.host

输入输出 先从输出开始吧，编程语言的学习好像都是从打印Hello World开始的 print()会依次打印每个字符串，遇到逗号“,”会输出一个空格 print()函数输出后默认会换行，print("", end="") 去除换行 print ( 'Hello world' ) print ( 'a' , 'b' , 'c' ) 输入：通过input() 可以达到这个效果。 name =input() hello print(name) 执行效果： 格式化输出： 换行与缩进 python的语法其实总结一下就两条： (1)一条代码作为一行：比如一个赋值、一个运算、一个请求、一条打印等。（多行代码写在一行时，中间用；间隔） (2)对齐和缩进：同一级别的代码只需要保持对齐即可，对于不同级别的代码进行缩进，这样就能区分开代码执行的逻辑。 第二点的话，对于有过其他编程语言经验的人来说，可能一开始会有点不习惯，用惯了其他IDE工具的一键排版等功能，代码编写的比较随意，在python里面就不行，对代码编写规范要求比较高。 关于缩进风格： 标准Python风格是每个缩进级别是使用4个空格，永远不要使用Tab制表符！ 因为不同编辑器，处理制表符的方式不同，有些会把它当成一个制表符，有的会将其看成是4个或4个以上的空格，因而会产生源代码中制表符和空格的使用不一的后果，违反了Python的缩进规则

0x00 前言 这里肯定有人会说为啥不用 burpsuite 要用 Fiddler 呢，这里解释下 bp 挖条件竞争漏洞比较麻烦反正我是用不来。 Fiddler 可能大家都听过 fd 改价格0.1元等等。这里 fd 去挖掘竞争条件漏洞比较舒服(个人感觉) 虚拟机很多 app 闪退这个方法比较好使，burp 同理。 0x01 准备材料 网线一根 360随身wifi一个 安卓手机一个(安卓抓取微信小程序需要将微信降级到6.X版本) 0x02 配置360随身wifi 1.安卓360随身wifi驱动。 下载地址： https://wifi.360.cn 2.傻瓜安装下一步下一步即可。 3.电脑网线接入路由器把wifi关掉 。 4.开启随身wifi手机连接wifi。 0x03 配置Fiddler 1.下载地址: https://pan.baidu.com/s/1Ytt0zxhB7jQqtyIBK-fm7Q 密码:3f4d 。 2.解压打开使用就行了(汉化版)。 3.打开-->工具-->选项 看图全部勾选 （软件提示全部为“是”或同意）。 4.确认配置后重启 Fiddler。 5.查看 Fiddler 的在线 ip。 0x05 修改wifi的代理 ip测试Fiddler的在线ip 端口默认8888 0x06 下载证书并安装(不安装证书抓不到数据) 1.

1 什么是Fiddler? Fiddler是一个http调试代理，以代理服务器的方式，监听系统的Http网络数据流动， Fiddler可以也可以让你检查所有的http通讯，设置断点，以及Fiddle所有的“进出”的数据。 Fiddler还包含一个简单却功能强大的基于JScript .NET 事件脚本子系统，它可以支持众多的http调试任务。 你是不是曾经疑惑过你的web程序和IE是如何交互的？你是不是遇到过一些奇怪的而你又无法解决的性能瓶颈？ 你是不是对那些发送给服务器端的cookie和那些你下载下来的被标记为可缓存的内容感到好奇？ 无论你是从事什么开发，哪种语言，只要你想更深入的了解HTTP，这个工具就值得你去了解，它对前端开发工作是很有价值的。 Fiddler官方网站及下载可以在[http://www.fiddler2.com/fiddler2/]找到，安装过程很简单，这里就不介绍了。 同样，Fiddler支持插件扩展，常见插件可以在[http://fiddler2.com/add-on]找到。下面，简单介绍Fiddler的功能和常见应用场景。 2 Fiddler界面及功能介绍 Fiddler整个界面布局如上所示，下面再简单介绍一些特殊的概念： 代理模式，支持缓存模式和流模式: 缓冲模式(Buffering Mode Fiddler直到HTTP响应完成时才将数据返回给应用程序。

搞IT技术的同行，相信没有几个人是不会抓包这项技能的（如果很不幸你中枪了，那希望这篇文章给你一些动力），市面上的抓包工具也有很多，常用的有： Charles 、 Fiddler 、 Burpsuite 、 WireShark 、 mitmproxy 如果从市场使用率来讲，特别是对于Windows用户来说， Fiddler 抓包使用人群占比最多。 由于 Fiddler 基于.NET开发，对于像我这类Mac系统的资深用户来讲，显然不太合适，为了解决Mac下使用Fiddler的问题，早在2016年官方出过一款名为 Fiddler for OS X Beta 1 尝试来解决这类问题, 但这款工具必须通过Mono才可以在Mac上使用。并且在Mac上使用是非常不稳定, 有非常多的问题。 所幸的是，在2018年，官方又进一步推出了一款名为： Fiddler Everywhere 的抓包工具，今天就给大家聊一聊这款工具。 虽然Mac下GUI抓包工具，首推Charles，但多掌握一项抓包工具，对自己肯定是没有坏处。 1. Fiddler Everywhere 介绍 从名称上来看，就大概能猜出它的寓意，官方也通过一段话，解释了 Fiddler Everywhere 的作用: Fiddler Everywhere is a web debugging proxy for any browser, any

1，环境 PC操作系统：Window10 手机操作系统：Android10 2，Fiddler设置 在PC上安装Fiddler并对其进行设置。 Tools -> Options 3，打开PC的热点并让手机连接该热点 4，通过ipconfig命令查看PC端的IP地址 5，配置手机的网络代理 6，手机上配置Fiddler证书 点击红色框中的连接下线证书，并点击下载的文件进行安装。 来源： oschina 链接： https://my.oschina.net/u/4297759/blog/4690671

软件测试面试题 app 测试和 b web 测试有什么区别？ WEB 测试和 p App 测试从流程上来说，没有区别。 都需要经历测试计划方案，用例设计，测试执行，缺陷管理，测试报告等相关活 动。从技术上来说， WEB 测试和 APP 测试其测试类型也基本相似，都需要进行功能测 试、性能测试、安全性测试、 GUI 测试等测试类型。 他们的主要区别在于具体测试的细节和方法有区别，比如：性能测试，在 WEB 测试只需要测试响应时间这个要素，在 App 测试中还需要考虑流量测试和耗电量 测试。 兼容性测试： 在 WEB 端是兼容浏览器，在 App 端兼容的是手机设备。而且相对应 的兼容性测试工具也不相 同， WEB 因为是测试兼容浏览器，所以需要使用不同 的浏览器进行兼容性测试（常见的是兼容 IE6 ， IE8 ， chrome ， firefox ）如果是 手机端， 那么就需要兼容不同品牌，不同分辨率，不同 android 版本甚至不同 操作系统的兼容。（常见的兼容方式是兼容市场占用率前 N 位的手机即可），有 时候也可 以使用到兼容性测试工具，但 WEB 兼容性工具多用 IETester 等工具， 而 App 兼容性测试会使用 Testin 这样的商业工具也可以做测试。 安装测试： WEB 测试基本上没有客户端层面的安装测试，但是 App 测试是存在客户端层面的安装测试