巧用fiddler做线上验证

最新推荐文章于 2023-06-15 16:14:04 发布
最新推荐文章于 2023-06-15 16:14:04 发布
阅读量296 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hellosimico/article/details/108122699
版权

之前看到一篇文章说,现在用fiddler做测试的很少,基本都被F12替代了,其实我挺为fiddler抱不平的,毕竟fiddler能做的事情很多~

以一个小案例来说:

举办一个比赛,到了决赛时临时要出一个入围决赛的名单展示。测试环境我可以通过改后台比赛日期去做测试。但是到了线上就不可能去改日期了。这时候fiddler的mock就很重要了。

以我们的测试场景为例。前端是根据接口的某个字段去判断是否进入决赛,而展示入围名单的。那就可以autoresponse功能的mock来处理这个字段,然后让前端展示排行榜做一下线上认证。

页面验证:

シミコ
关注
Android 项目经验汇总:Fiddler的坑,证书无效
菜鸟博客
08-19 4694
1、Fiddler的坑,证书无效 Fiddler是用来抓包的强大工具,但是按照流程安装证书等一系列操作之后,会发现要抓包APP的HTTPS链接始终无法访问,提示证书问题。 然后看网上说是需要root手机,然后安装什么Xposed、TrustManager. 然后我就纳闷了,以前手机抓包好好地,怎么现在不可以了呢,于是乎就换了个Android 5.1的测试机,结果顺利抓包。压根不用什么劳什子的XPosed之类的折腾。 2、对接SDK的坑 我们Android APP最近升级了一个SDK,结果发现我们线上Cras
自动化测试之绕过验证码登录
热门推荐
ST的博客
07-20 1万+
这几天北京下大雨了,现在的自己已经圆满的成为了“北漂”,最悲催的上班不小心滑倒了,手划到了瓷砖上,去医院缝了好几针,哇~ 那感觉feel倍爽 。最近出了新项目,了一点自动化,在这里用单手秀了一波“走位”------绕过验证码登录。 在这里总结了常见的几种方法,仅供参考。 话不多说,开整! 方法一 去掉验证码。让开发在测试版上面的验证码注销掉, 方法二 万能码。增加万能码,系统只要是识...
在本地调试,使用fiddler绕过登录验证
qq_35597524的博客
03-07 7580
现象:在本地调试调用某个接口时,会进入到spring拦截器检查登录验证,没登录的话会直接跳到线上环境进行登录操作,造成本地调试失败。 解决方案:使用fiddler设置代理,具体步骤如下: 1.先进行线上登录操作,浏览器就把对应的jsessionid存储在cookie中;线上服务器也存了对应的session; 2.开发fiddler,选中tools->ho...
线验证测试阿里云
cpongo881
12-14 440
上面的代码通过super.dispatchTouchEvent(ev)调用了DecorView的父类FrameLayout,该类倒是没有重写dispatchTouchEvent而是由它的父类ViewGroup实现:在分析ViewGroup分发事件之前还得说两结论: 1)ViewGroup永远不会对拦截,因为他的onInterceptTouchEvent(MotionEvent ev)始终返回的是f...
发版后,线验证要点
weixin_30823833的博客
05-17 678
1、有新功能的发版; 首先要把新功能仔细验证一下,然后回归主流程,然后大体回归老功能 2、有缺陷解决的发版; 验证解决的缺陷在线上是否生效,回归主流程,回归老功能 3、普通的发版; 先最新的功能,再主流程,再回归老功能 注意分清功能的主次,重要的功能先重点回归,保证早发现缺陷早解决 转载于:https://www.cnblogs.com/maochiyu/p/9051173.ht...
如何进行验证测试(上)
lotus668的专栏
01-06 881
转自:http://www.51testing.com/html/94/n-202194.html 所谓认证,就是建立确信某物或某人是真实的这么一个过程,authentication来自于希腊语,即真实的,可信的。认证本身依赖于多个认证因子,在计算机安全领域,认证意味着验证通讯发起者的数字身份,常见的认证过程就是用户登录认证,所谓认证测试就是理解系统中的认证机制并找到方法绕过该认证
怎样在测试环境使用线上数据验证新功能
Java笔记虾
09-13 1516
正常我们在项目时,通常都会有多个环境,本地开发环境,日常测试环境,预发环境,正式环境等等。 一般各个环境之间除了代码一致之外,其他的或多或少都会有一定的差异,例如配置信息,数据库信息等,其中最大的差异就是项目实际运行过程中产生的各种数据。 那我们怎样才能打造一个和线上环境尽可能相同的测试环境呢,我相信应该没人会愿意直接到线上环境去验证自己修改的 bug,或者新增的功能吧。 即便是实在没办法...
fiddler使用AutoResponder进行线上文件和本地文件的映射
qq_41714308的博客
03-01 3210
之前只是简单的了解如何使用AutoResponder简单的替换了图片,这几天查阅了更多关于AutoResponder的文章,才知道这个功能是fiddler比较实用的功能之一,之前的替换图片实际上就是一种映射行为,这次要进行对线上js文件和本地js文件的映射~准备工作:因为是第一次映射js文件,就自己在本机创建了一个js文件,js中写了一个alert提示框,alert(‘hello’),如果真的映射...
fiddler工具的作用和常使用场景
crhnb的博客
06-15 634
今天想和大家来聊聊fiddler抓包,废话不多说我们直接开始吧。
第二:Fiddler抓包-Fiddler基础
欢迎来到本博客!
09-21 429
【代码】第二:Fiddler抓包-Fiddler基础。
Fiddler基础入门教程【2】--基础知识
weixin_44629511的博客
07-31 280
第一次开启“截获HTTPS请求”会弹出证书安装提示查看安装的证书1.对话框备注,添加之后再会话栏的comment列中显示备注内容2.Replay再次发送对应请求3.清除会话面板4.Go断点调试,点击Go,执行下一步5.Stream代理模式。默认缓冲模式。点击进行切换a.流模式streaming将客户端的请求数据实时传给服务端,更接近于浏览器本身的真实行为b.缓冲模式buffering将客户端的请求数据缓冲起来,等数据写完之后再传给服务端6.Decode解压请求。......
POST抓包取验证
08-17
POST抓包取验证
Fiddler 抓包工具下载安装基本使用(详)
灵魂学者的博客
05-21 2261
本篇内容主讲关于Fiddler抓包工具,从下载安装以及配置信息,证书的下载安装以及PC端设置代理配置和移动端设备配置代理,阐述关于Fiddler抓包工具面板的基础使用以及如何进行抓包和设置断点,对于软件测试以及对抓包感兴趣的读者可以翻阅!感谢大家的支持!!!
系统上线流程规范
Roda的博客
11-26 1万+
目录 规范分别从上线前,上线中,上线后三个阶段: 上线前: 上线中: 上线后: 规范分别从上线前,上线中,上线后三个阶段: 上线前: 1、  确保测试环境及预发布环境测试通过,才允许上线; 2、  提前知晓关联系统负责人关注各自系统(以咚咚或邮件的方式); 3、  提前梳理好本次上线需要修改的配置文件等信息,提醒开发进行配置备份; 4、  提前准备好本次上线验证所需的测试数据,...
【软件测试】测试点总结,收取短信验证码的测试(详全),你的即用宝典......
m0_70102063的博客
12-27 8268
现在的APP,很多都需要登录注册,而注册一般要验证手机号码,就会发短信验证码,类似一个下面功能,我们会怎么考虑进行测试? 首先确定页面有哪些元素,并且明确功能、测试点等,点击手机号获取验证码是用来什么的。首先明确和细化需求,(明确功能)验证码是手机下发的验证码,还是图片验证码等。在明确功能后先冒烟测试或通过性测试,测试功能正常使用后,再进行非通过性(异常)测试。1、先进行通过性测试输入正确的手机号码,点击获取验证码,查看手机是否收到短信。收到短信后输入验证码:若为登录功能,还应检查是否进行页面跳转,是否正
修改fiddler抓到的response-修改前端展示
liangdeniu的专栏
11-02 4033
第一步:打开fiddler,勾选以下内容 2.选择“‘AutoResponder’”,勾选前两个选项   enable rule and unmatched requested passthrough 3.从左侧选择要修改的请求,直接拖拽到右侧 4.单击要修改的请求,直接按“”“F2”弹出 edit respose页面 4.选择要修改的字段值,修改
LOL易游网络验证破解总结
qq_41866920的博客
06-19 8428
先总结下LOL辅助逻辑 防风软件一般会HOOK /game 第一步 查壳 软件要是没有加壳
fiddler 三、请求数据修改
object_oriented_uy的博客
03-12 2733
接口测试和页面无关,看的是请求的数据, fiddler 除了抓取请求以外,还可以修改在请求时的数据 fiddler可以跳过页面验证直接去验证数据库 把请求拦下来,修改数据,越过页面验证,来验证数据库是否可以接受错误的数据 场景: 添加会员信息的时候会进行两层验证 页面验证和数据库验证 例手机号在输入以后,页面进行验证,验证错误后,数据库添加成功了,说明数据库没有手机号的验证 具体步骤: ...
【HTTP】Fiddler(一) - Fiddler简介
ajuvfe4150的博客
03-30 2508
目录(?)[-] 为什么是Fiddler 什么是Fiddler Fiddler使用界面简介 1.为什么是Fiddler? 抓包工具有很多,小到最常用的web调试工具firebug,达到通用的强大的抓包工具wireshark.为什么使用fiddler?原因如下: a.Firebug虽然可以抓包,但是对于分析http请求的详细信息,不够强大。模...
房天下登录逆向
最新发布
04-03
### 房天下登录逆向工程分析方法 #### 1. 初步理解目标系统的加密机制 房天下的登录功能通常会采用一定的安全措施来保护用户的密码和其他敏感数据。根据已知的信息,在涉及 `encrypt` 的 JavaScript 加密逻辑时,可以通过抓包工具定位到具体的加密实现位置[^4]。这一步的关键在于找到前端代码中负责处理用户输入并将其转换为服务器端可接受形式的部分。 #### 2. 使用抓包工具捕获网络请求 为了深入研究其加密算法,可以利用诸如 Fiddler 或 Burp Suite 这样的抓包软件拦截浏览器发出的数据流。当尝试模拟一次正常登录操作时,应特别注意观察 POST 请求中的 payload 数据结构以及任何可能被标记为 “encrypted” 的字段内容变化情况。这些信息有助于后续反编译工作开展方向的确立。 #### 3. 定位具体加密函数及其依赖库 一旦确认了哪些参数经过了特殊加工,则需返回源码层面寻找对应的脚本文件。借助开发者控制台设置合适的断点可以帮助精确定位实际执行加解密运算的位置。如果发现该部分采用了第三方JavaScript 库 (比如 CryptoJS),则还需要下载相应版本以便本地测试验证。 #### 4. 调试与重现加密流程 获取完整的加密逻辑之后,可以在 Visual Studio Code 中配置 Node.js 环境或者直接运行 Python 脚本来重新构建整个过程。此阶段需要注意调整好所有必要的环境变量,并确保最终生成的结果能够匹配线上服务预期接收的形式。 #### 5. 结合逆向思维优化解决方案 在整个过程中保持开放态度非常重要;有时候看似复杂难解的问题换个角度思考反而迎刃而解。正如提到过的,“很多过程都是可逆的”,所以在遇到瓶颈的时候不妨考虑是否存在其他替代路径达成相同目的[^2]。 ```javascript // 示例:假设这是从房天下网站提取出来的简化版加密逻辑 function encrypt(pwd, publicKey) { const rsa = new JSEncrypt(); rsa.setPublicKey(publicKey); return rsa.encrypt(pwd); // 返回加密后的字符串 } ``` 上述代码片段展示了如何基于公钥对明文密码进行 RSA 加密的一个简单例子。当然实际情况可能会更加繁琐一些,但基本思路大致如此。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值