fiddler的安装(实训环境)
更新apt源
安装mono
安装过程中,需要打个Y
解压fiddler的安装包
运行fiddler
fiddler的配置(实训环境)
允许远程设备访问(抓包手机app的内容)
重启fiddler,确保配置生效
fiddler的端口映射
:::info
📢注意:如果以下实验中,发现fiddler不能抓包了,很有可能就是端口映射断了,重新执行adb reverse命令即可
:::
云手机上设置wifi的流量代理到fiddler
1、实例****1:抓包查看登录的安全性问题
inspectors模块
实例2:预定义响应报文劫持篡改
AutoResponder模块
- 原理:
- 正常流程:app发请求-- > 服务器响应真实的数据—> app收到了真实的服务器响应
- 伪造流程:app发请求-- >服务器响应真实的数据—>fiddler拦截了真实的响应,并伪造响应—> app收到的伪造的响应
- atstudy的登录账号:13666666666/123456
- 被测页面
操作流程
:::info
结论:
1、 客户端没有正确鉴别是服务器的数据还是被篡改的数据
2、 客户端的界面没有对超长的数据做出正确的处理
:::
实例3:预定义响应报文文件劫持篡改
被测页面:
AutoResponder模块
实例4:bpu断点修改请求数据
命令行功能的实例:
- bpu:breakpoint on URI 请求前断点
- 场景:登录时,界面会对11位手机号做一个判断,并限制非11位手机号的登录。所以我们可以直接从接口让客户端发送非11位的手机号,以此测试服务器对非11位手机号能否做出妥善处理
- 过程:
实例5:bpafter修改响应数据
- 场景:课程的价格,假设服务器出bug了,给出的价格不是2000,而是**&……%¥#,测试,前端页面,会不会因为收到了**&……%¥#,出现了页面错乱
- 过程:
再次修改价格为***&&&
实例6:Fiddler的接口测试
Composer模块
- 场景:临时做做接口测试,但是无法和postman的功能媲美,既不能写测试用例集,也不能批量跑。
实例7:Fiddler的弱网测试
设置弱网的网速
观察atstudy登录的网速
关闭弱网的开关后,重新抓包
关闭云手机的fiddler的代理和端口映射
不去掉代理,一旦fiddler关掉,app就无法上网了
实例8:Fiddler抓包HTTPS协议
实训环境中无法实现fiddler对https的抓包,采用模拟器+本地fiddler方式实现
fiddler的设置
重启fiddler生效
