目录
Fiddler启动后将会修改本机系统的端口
打开谷歌浏览器,查看高级选项中的代理选项
如果关闭fiddler后,将会发现这个代理消失了
http协议报文查看另一篇网络安全 基础入门-概念名词_baidu_41553551的博客-CSDN博客
一、菜单栏介绍
?
一般将两个隐藏选项勾选
如果没有勾选,那么在打开
如果隐藏掉了,如下,不会产生干扰
?
view主要是一些视图
help没用?
二、工具条
按住ctrl选择要保留的,然后shift+del删除其他的内容
ctrl+x清除所有会话的快捷键
?
上面这个暂停一下后可以修改一些信息再发送?
?
三、session(会话列表)
?
可以自定义添加列
?然后添加
添加host对应ip的列
1.打开Fiddler工具,Rules->Customize rules
2.Ctrl+F搜索"static function Main()"方法,添加以下代码:
FiddlerObject.UI.lvSessions.AddBoundColumn("ServerIP", 120, "X-HostIP");
?3.保存后重启
4.可以拖动到前面来
四、命令行和状态栏?
?
可以输入help回车查看命令
常见命令
?sometext? ??
当您键入 输入内容时?时,Fiddler Classic 将突出显示 URL 包含您输入内容 的会话。按 Enter 将焦点设置到选定的匹配项。
?内容?>尺寸
下面返回大于40kb字节的会话(传输是1kb=1000)
>40000?对应还有 <? ? 小于多少字节的会话
=状态
=方法
=post
=301
@部分host关键字
@sohu.comcls清除会话列表
clsurlreplace url字符串替换
urlreplace sohu souhu
select? ?
选择response Content-Type header包含的内容,比如json text xml
select jsonallbut??
隐藏所有会话,除了 Content-Type 标头包含指定字符串的会话。
allbut java常用的?
??? ?@ allbut select
?
? 上面这个是全局断点。
?后断点? ?
?可以模拟网络中断? ?查看超时机制??
?四、辅助标签和工具栏
?
?
?
上面这个链接可以直接拉进去
mock模拟,如果选中一个js文件,复制下来修改一下然后添加规则替换,那么就可以用于钓鱼
?极端测试?
上述可以做极端测试,比如返回一个json,不返回json
?然后就发现? 收到服务器返回的信息了
接口测试
这个功能可以做接口测试
从下面获取一个登录链接,本来手机号需要输入11位,在前端有个验证,如果从下面这里直接跳过这个验证,输入非手机号正常格式的数据,然后看看后端是否还有这个验证。
永远不要相信前端发来的任何数据,发来的数据都需要在后端进行验证
?然后修改下面的body,执行
?可以拖动多个
下面主要讲filter
?
左侧右键copy这一列?
?
?填上后,右上角有个action,点击执行
?
?
?模拟弱网测试
?
五、捕获HTTPS流量?
http+ssl或者TLS加密?
需要提前将这个勾去掉?
Tools->options->https->
??
?
?
?测试一下访问一个https的看能否抓到
如果不能抓到
?然后又是上面那个过程 勾上那个勾
六、火狐抓取https包?
?这时候能抓取https的包
如果在火狐中不使用代理,将不能抓取
?这时候可以导入证书
七、app抓包?
手机网络或者模拟器的网络连接宿主机的网络
?一定要输入端口号,否则就会像上面一样被拒绝。
?安装后还是不行。
fiddler还可以安装第三方插件
位于https://www.telerik.com/fiddler/add-ons