漏洞修复与Fiddler抓包工具的使用

已于 2025-07-11 10:14:21 修改
阅读量114 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: IDEA-Java各开发环境安装和常见问题解决 Eclipse 配置 JDK环境 和 Tomcat 文章标签: fiddler 测试工具 java
于 2025-07-08 16:23:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/PY_XAT_SFZL/article/details/149178183

漏洞描述

1. 短信轰炸漏洞

Type:存在三个不同的值。Login是登录处,register是注册账号处的短信验证码获取值,还有一个update值。未注册的用户也可以进行发送短信。

2. 手机号绕过,修改密码漏洞(逻辑漏洞)

目前注册使用手机号与忘记密码的手机号验证测试都可以绕过,
开始想测试是否为任意密码修改,发现只要第一个验证方式身份证和姓名作为绑定,后续会根据这两个参数值进行判定,后续的短信验证码可以进行绕过,除非在某个接口中获取到更多的用户信息就可以进行修改其他用户的密码,随后进行登录。

在这里插入图片描述

3. 个人信息明文传输漏洞

用户在注册时的所有信息均通过明文传输,存在信息泄露安全。

修复方案

1. 短信轰炸漏洞

**修复建议:**增加图形验证码,对手机号进行限制在有效时间内只能允许发一次短信验证码
**修复方案:**①对手机号最后一次发送验证码时间和类型进行记录,调用验证码接口时,根据手机号、类型和时间差额进行判断。
②需要前端配合,生成图片验证码,记录有效时间(3分钟),时间内有效,前后端进行验证成功后再调用发送短信验证码接口。

2. 手机号绕过,修改密码漏洞

修复建议:前后端双向验证
前端:使用JavaScript或框架(如 Vue 的vee-validate)验证响应参数格式
后端:在接口输出前通过模型验证(如 Spring Validation)确保参数合规
异常处理:参数不合法时返回明确错误码(如400 Bad Request)及错误信息
修复方案:
①在进行密码时再次验证验证码信息(二次验证)
使用抓包工具跳过第二步的身份验证后,会在第三步中进行验证码二次校验

在这里插入图片描述
逻辑漏洞:https://zhuanlan.zhihu.com/p/572373589

3. 个人信息明文传输漏洞

修复建议:对请求包的内容进行加密传输

修复方案
①前端对敏感信息字段(密码 手机号 身份证号 )进行加密传输,后端进行解密

Fiddler抓包工具的使用

下载:https://www.telerik.com/download/fiddler
使用:https://blog.youkuaiyun.com/okcross0/article/details/145454361

抓包前的准备

  1. 下载安装完成后 打开Fiddler,点击工具栏中的Tools—>Options
    在这里插入图片描述
  2. 点击https设置选项,勾选选择项
    在这里插入图片描述
  3. 点击Actions,点击第二项:Export Root Certificate to Desktop。桌面上会出现证书FiddlerRoot.cer文件,点击OK设置成功。
    在这里插入图片描述
  4. 在浏览器中导入证书FiddlerRoot.cer。例如: 谷歌,在浏览器上输入: chrome://settings/ 然后进入高级设置,点击管理证书.在这里插入图片描述
  5. 在受信任的根证书颁发机构,对证书进行导入在这里插入图片描述
  6. 重新打开fiddler,就可以在电脑上进行https抓包了

抓包工具的使用

https://blog.youkuaiyun.com/qwer9478/article/details/100164634

  1. 抓包,找到要拦截的请求,然后在AutoResponder中Add Rule:在这里插入图片描述

  2. 在Rule Editor中的第二栏选择“Create New Response…”:
    在这里插入图片描述

  3. 点击Save,会弹出一个窗口,在弹窗中选择Raw栏,将抓包抓到的请求对应的Raw栏内容复制粘贴进去,然后将其中想要修改的部分进行修改,然后点击“Save”进行保存:
    在这里插入图片描述

  4. 如果想要频繁修改替换返回体中某些内容,可以在AutoResponder里相应待拦截请求上点击右键,“Edit Response”编辑返回体:
    在这里插入图片描述

  5. 注意:可以通过框住的内容来实现是否使用工具修改包内容在这里插入图片描述

声明:本文在撰写过程中,所遇问题参考博文在文已添加链接,特此声明,以示感谢。

抓包工具Fiddler
謬熙的博客
11-28 1472
Fiddler是一款功能强大的网络调试工具,它作为一个HTTP代理服务器,能够记录、检查所有客户端服务器之间的HTTP(S)请求和响应。Fiddler不仅允许用户监控网络流量,还提供了编辑、重发、转存等功能,使得网络调试和分析变得更加高效。它广泛应用于Web开发和测试领域,尤其是在接口调试、性能分析、安全性测试等方面。Fiddler作为一款功能全面的网络调试工具,其在Web开发和测试领域内的应用极为广泛。
调试 - Fiddler抓包使用技巧
2301_79455190的博客
12-02 680
当你下载安装完 fiddler 双击打开后,大概如上图这样;
精通网络数据抓包Fiddler2实战指南
weixin_31620365的博客
07-25 1212
Fiddler2是一款功能强大的web调试代理工具,由微软的开发者开发,以其便捷的操作和强大的功能,广泛应用于开发者和测试者的日常工作中。Fiddler2不仅能捕获和分析HTTP(S)请求和响应,还能进行网络流量的监控,为使用者提供了一个清晰直观的界面,用于查看和调试网络数据。网络数据包是网络通信中数据的基本传输单位,它们在客户端和服务器之间往返传输,承载着用户请求和服务器响应的各种信息。协议则是网络数据包在网络中传输时所遵循的规则集合,它定义了数据包的格式、传输方式、纠错机制等。
下载手机抓包工具APK的实用教程
weixin_35987118的博客
08-24 1068
随着移动互联网的快速发展,对移动应用的优化和网络安全要求日益增高,手机抓包工具成为了开发者和安全分析师不可或缺的利器。本章节将从基本概念入手,逐步深入介绍手机抓包工具的应用场景价值。
JavaScript 和 jQuery 网络抓包工具实战指南
weixin_32047493的博客
06-22 857
JavaScript是实现网页交互性的核心技术,而jQuery作为一个快速、小巧且功能丰富的JavaScript库,极大地简化了JavaScript编程工作。在网络开发中,它们担任着构建动态网页和优化用户体验的重要角色。IEInspector HTTP Analyzer Full Edition v6 是一款专业的网络监控工具,它可以帮助开发者、测试工程师以及安全分析师深入理解HTTP和HTTPS协议,监控和分析网络请求和响应。
php开发中如何防止抓包工具伪造请求
小司机的奥拓
06-14 468
要防止抓包工具伪造请求,采取一系列的技术和策略来增强应用程序的安全性。
Fiddler抓包HTTPS问题解决指南:使用易语言打造证书修复工具
weixin_35755434的博客
06-05 1075
简介:本文详述了Fiddler抓包HTTPS时面临的挑战及解决方案。介绍了为何Fiddler在默认情况下无法直接解密HTTPS流量,并深入阐述了如何使用Fiddler证书修复工具”来解决这一问题。工具通过生成和安装自签名根证书,帮助用户绕过安全限制进行数据解密。文中还指导了工具使用步骤,注意事项,并强调了安全便利性权衡的重要性。
抓包技术哪家强?还得看这仨
12-03 651
开发人员在调试一个新的API时,使用Wireshark捕获客户端发送的请求和服务器返回的响应,发现请求中的某个参数格式不正确,导致服务器返回错误代码400。开发人员在调试一个新的API时,使用tcpdump捕获客户端发送的请求和服务器返回的响应,发现请求中的某个参数格式不正确,导致服务器返回错误代码400。假设一个Web应用的登录功能出现问题,开发人员可以使用Fiddler捕获登录请求,检查请求参数和响应状态码,发现请求参数中缺少必要的认证信息,从而修复问题。提供丰富的图形界面,便于查看和修改请求和响应。
接口漏洞怎么抓?Fiddler 中文版 + Postman + Wireshark 实战指南
2501_91591841的博客
07-07 1029
【摘要】Fiddler工具在API安全测试中的关键作用:通过拦截、修改和重放请求,可有效发现未授权访问(删除Token验证)、参数篡改(修改金额/ID等敏感字段)及重放攻击等漏洞。结合Postman批量测试和Wireshark流量分析,形成从接口到网络层的立体检测方案。Fiddler的Session记录功能还能完整复现漏洞,助力开发团队快速修复。该文以电商支付漏洞等实际案例,展示了如何通过工具组合主动验证API安全性,覆盖鉴权、参数校验、传输加密等关键环节。(142字)
Fiddler抓包工具使用方法权威指南
Fiddler是一款广泛使用的网络调试代理服务器工具,它能够捕获网络上的各种HTTP、HTTPS协议的通信内容,并且可以对这些通信进行监控、记录、修改和重放。《Fiddler调试权威指南》作为一本详细讲解如何使用Fiddler的...
中文版Fiddler抓包工具2018版本使用体验
由于文件描述中提到这是一个“很好的中文fiddler抓包工具”,我们可以推断这个版本的Fiddler可能具有中文界面和一些特定的功能增强。 ### 知识点概述: #### 1. Fiddler的基本功能 - **捕获网络流量:** Fiddler...
Fiddler4抓包工具安装使用教程
资源摘要信息: "Fiddler4Setup.exe 是 Fiddler 这款网络抓包工具的安装程序。Fiddler 是一款广泛使用的Web调试代理服务器,它能够记录所有经过HTTP和HTTPS协议传输的网络请求。在进行Web应用开发和测试时,Fiddler...
快速下载Fiddler抓包工具压缩包
同时,也存在一些其他抓包工具,如 Postman 的网络请求捕获功能、Charles(需要付费)、Wireshark(功能全面但操作复杂)等,它们在不同的使用场景中可能成为 Fiddler 的替代品。 总结来说,Fiddler 是一款为网络...
Fiddle抓手机app的包
tq02的博客
08-14 1314
Fiddler下载安装汉化,提取手机安装的包
tomcat正常启动但 SpringMVC 控制器无法启动
阿鹏的博客
12-10 660
摘要: 排查Tomcat启动后无法访问SpringMVC接口的问题,发现是IDEA工件配置缺失导致依赖JAR未复制到out/artifacts/.../WEB-INF/lib目录。尽管Java类文件正常编译到WEB-INF/classes,但缺少Servlet/SpringMVC核心JAR导致请求无法路由。解决方法是手动将依赖JAR添加到lib目录并重新构建。文中对比了IDEA的out目录(IDE专属)Maven的target目录(构建工具标准)的区别,强调out/artifacts是Tomcat实际加载
Java技术栈五要素:JDK/JRE/JVM/Tomcat/JAR包的关系详解
ChengR666的博客
12-11 955
Java生态中,JDK、JRE、JVM、Tomcat、JAR包是开发者和运维人员绕不开的五个核心概念。JDK(Java Development Kit)是Java开发的必备工具包,包含编译器(javac)、运行环境(JRE)及基础类库,为Java程序的开发、编译和运行提供完整支持。核心组成:JRE(运行时环境):厨房的基础后厨设备和食材仓库(如刀具、炉灶、调味品)。 开发工具:研发团队的专属工具(如javac编译器、jdb调试器、javadoc文档生成器)。 定位: 开发者需要JDK来编写代码、编译程序、
软件测试测试题——单元测试
代码欢乐豆
12-10 339
Login类中BeginWithLetter(String a)方法的功能为判断用户输入a是否以字母作为开头,BeginWithLetterTest为其通过JUnit 4编写的测试类,其中的testBeginWithLetter方法通过断言语句验证BeginWithLetter方法的功能实现,请将代码补充完整。//JUnit 4.0的注解,表明testBeginWithLetter为。通过JUnit4编写如下测试脚本完成对于IsNull方法的验证。假设有一段存在缺陷的用于验证输入数据是否为空的程序代码。
计算机中总能通过引入额外一层间接性来解决任何问题&如无必要勿增实体
最新发布
weixin_42319617的博客
12-13 769
协议层定的是“意义”,实现层定的是“做法”;意义不变,做法随便换——无论 packet 还是 tensor,都照这个理。感觉深度模型加个层是很常见的操作了,只要不会因为过深而导致效果变差,但是当说到升高维度的时候,有的人只认为是深度加深,而其实说的可能是宽度A:跨层通信的疼点本质是:“纵向引用”把网络从‘局部依赖’变成‘全局依赖’→带宽 ∝ L²,时序串行,显存钉子;解法要么把“全局”压回“局部”,要么用异步/换出把延迟藏起来。
Flutter 2025 测试策略全景:从单元测试到混沌工程,构建坚不可摧的高质量应用
2501_93814044的博客
12-11 922
Flutter 2025 测试策略全景:从单元测试到混沌工程,构建坚不可摧的高质量应用
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

PY_XAT_SFZL

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值