抓包工具使用实战,Json轻松查看方法

原创 已于 2025-02-21 18:31:27 修改 · 1.4k 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#测试工具 #fiddler #postman

于 2025-02-18 14:10:38 首次发布

抓包工具使用实战

测试人员通过抓包工具拦截获取客户端发送的报文,服务器返回的报文,验证其是否正确

浏览器,Fiddler,Charles,Postman

一、需要准备的测试工具

【抓包工具】
1.浏览器自带的开发者工具
打开谷歌浏览器–>F12–>Network

可抓取https请求,能调试接口
不能直接设置断点,不能抓取移动端数据报文

2.Fiddler
手机代理方法:https://blog.youkuaiyun.com/weixin_62332711/article/details/128161612

可抓取http,https请求
能设置断点,能抓取移动端数据报文
Windows系统使用

3.Charles(最好用)

可抓取http,https请求
能设置断点,能抓取移动端数据报文
Mac系统使用

4.Postman(最好用)
Postman安装教程
Postman有录制功能可以自动抓取浏览器的内容

【java环境配置】java环境变量
配置原文章:https://blog.youkuaiyun.com/qq_41436122/article/details/82620080

【接口测试】Jmeter对抓到的接口进行测试
下载,环境配置以及安装:https://blog.youkuaiyun.com/qq_41436122/article/details/82620080
jmeter进行APP接口测试经验总结:https://blog.youkuaiyun.com/lichao330530/article/details/51840518

1、浏览器自带的开发者工具进行抓包

1)打开谷歌浏览器–>F12–>Network–>刷新

以下为整体功能展示:

  • 加载时间应控制在1s左右

需要关注的内容
2)点击报文

文件类型:document为文档类型,展示前端代码

  • 测试内容:
  • url需对比接口文档与需求是否一致
  • 响应页面与需求规定是否一致

Payload 内容

一般通过页面进行测试,想测试代码要使用自动化工具

在这里插入图片描述

2、Fiddler抓包

1)打开代理:Tools --> Options --> Connection --> 开启代理

2)查看抓取报文:Inspectors --> Raw

3)过滤器:Filters --> 配置过滤条件 --> run…
show only the following hosts:只显示下面多行文本框的域名(经常使用)

4)清空所有报文(Edit --> Remove --> All…),在客户端操作,点击抓取到的第一个请求

5)设置断点(Rules --> Auto… -->Before…)拦截请求数据,篡改数据

在这里插入图片描述

5)设置断点(Rules --> Auto… -->After…)拦截响应数据,篡改数据

在这里插入图片描述

6)弱网测试(Rules -->Perfor… -->Simulate…)
配置弱网条件(Rules --> Customize–>搜索SimulateModem,修改数值,数值越大网络越不好)

        if (m_SimulateModem) {
            // Delay sends by 300ms per KB uploaded.
            oSession["request-trickle-delay"] = "1000"; 
            // Delay receives by 150ms per KB downloaded.
            oSession["response-trickle-delay"] = "1000"; 
        }

7)抓取HTTPS请求(Tools --> Options --> HTTPS勾选 -->Actions --> Trust…)

在这里插入图片描述

查看证书的位置

在这里插入图片描述

8)Fiddler导出的json数据很杂乱无章
使用JSONedit编辑器,可修改

  • 修改方法:粘贴json格式文本–>Tools–>Reformat…在这里插入图片描述

3、Charles(最好用)抓包

后续补充。。。。。

4、Postman(最好用)抓包

Postman可以使用录制功能,自动抓取浏览器产生的接口并录入Postman中,此方法需设置代理

  • 抓包工具不能同一时间使用

  • 设置Postman代理
    在这里插入图片描述

  • 设置浏览器代理
    在这里插入图片描述

  • Postman功能指引
    在这里插入图片描述

二、实际操作遇到的问题

【服务器日志的地址和目录】朝后端要ip地址和账号密码
                       docker 部署的,日志在docker容器内
                       docker ps -a 都是

1.容器查找
在这里插入图片描述
2.查看接口

1.清除所有内容,在app上进行你想测试的操作
2.点击第一条出现的抓包内容,接口在输入处的headers中
3.查看输入数据Raw,返回数据Raw
4.异常情况:message":"未知异常,请联系管理员","code":500,这种一般联系后端
           token失效,一般找后端

查找接口

3.微信扫描二维码下载安装包,安装包名字不能有中文(微信扫描不支持)
在这里插入图片描述
4.Fiddler抓包报404错误
此为开发人员自定义的404错误友好界面,给客户更清晰的指导
在这里插入图片描述

Python爬虫实战 | 移动端API数据抓取(使用Charles代理抓包)详解
2201_76125261的博客
05-18 968
Charles是一款功能强大的HTTP代理抓包工具,可以透明代理手机和电脑的网络请求,捕获请求与响应数据,支持请求重放、修改请求、模拟慢速网络等。主要特点支持HTTPS解密(中间人攻击)直观的请求列表和请求详情视图支持导出抓包数据支持手机与电脑联动,便于抓包移动端数据requests:经典HTTP请求库,简洁易用,支持GET/POST等请求httpx:新兴异步HTTP客户端,支持同步和异步请求,性能优越aiohttp:异步爬虫利器,配合asyncio可实现高并发。
API抓取实战:Python高效解析JSON接口,轻松搞定结构化数据
最新发布
专注于Python爬虫开发,分享爬虫技巧、项目实战与反爬经验,使用Scrapy、BeautifulSoup等工具,解决数据抓取难题。
11-02 1272
本文从基础到进阶,覆盖了Python解析JSON接口的核心技术:基础请求、分页处理、认证机制、反爬应对、数据存储,通过实战案例让你能直接落地项目。API抓取的关键是“读懂接口规则”(分页、认证、频率限制);反爬的核心是“模拟正常用户”(随机请求头、合理延迟、IP池);大规模抓取优先用异步(aiohttp),提升效率。
json抓包工具
05-30
可以对网络中的资源进行抓取,将json转换成字符串
【WP】Json抓包
新生代CV搬运工
09-22 1751
最近因为同事的毕业设计聊天时谈及了抓包这个词,还记得当时在114的时候也用了httpwatch抓过一次学校的课表,当然demo是来自于csdn中网友的分享,开始自己的课表还是可以抓的,最后因为学校教务系统升级了,也就抓不了了。如今又来学习一下抓包,这个小技巧还是很不错的,可以抓取网上的数据作为资源。 抓包一般是返回的json数据,由此也联想到了抓html文本,比如从360文库里解析最新的ho
高效JSON数据查看工具实战指南:JsonView详解
weixin_36074800的博客
10-08 467
JSON(JavaScript Object Notation)是一种基于文本的轻量级数据交换格式,采用完全独立于语言的语法,广泛用于前后端通信、API接口响应及配置文件中。其基本结构由键值对组成,支持对象{}和数组[]两种复合类型,基础数据类型包括字符串(双引号包裹)、数值、布尔值(truefalse)、null以及嵌套结构。"name": "张三","age": 30,
网络嗅探,大神都在用这10个抓包工具
08-09 1535
NetworkMiner还具有IPv6支持、Pcap-over-IP、操作系统指纹识别、Geo IP本地化、支持命令行脚本等多种检测功能,这些功能适用于不同类型的流量,比如HTTP、SMB2、POP3、TFTP、FIP和SMB等流量。不过,即便是免费版,也可以支持300种协议,拥有较为出色的流量分析检测功能,标准版则更胜一筹,支持1000多种协议,还允许用户自定义分析会话,实现数据包流量的重建。这是一款功能完整的流量分析软件,使用流量技术,为安全团队提供深入的信息,以提供最佳流量模式的带宽性能。
Json数据查看
11-12
用来在浏览器查看json数据。比如你在浏览器中可以查看从服务器端传回来的json数据,这些数据可能没有经过格式化的,也或者是经过了unicode编码,没有缩进,没有换行等等,造成阅读有一定困难。那么使用jsonview,可以自动对json数据转码,缩进,格式化,使得开发人员可以更好的阅读信息。
JSON查询
qq_54256430的博客
09-16 655
问题描述   JSON (JavaScript Object Notation) 是一种轻量级的数据交换格式,可以用来描述半结构化的数据。JSON 格式中的基本单元是值 (value),出于简化的目的本题只涉及 2 种类型的值:   * 字符串 (string):字符串是由双引号 " 括起来的一组字符(可以为空)。如果字符串的内容中出现双引号 ",在双引号前面加反斜杠,也就是用 \" 表示;如果出现反斜杠 \,则用两个反斜杠 \\ 表示。反斜杠后面不能出现 " 和 \ 以外的字符。例如:""、"hello
Fiddler网络抓包工具实战:HTTP请求与响应分析
理解Fiddler网络抓包工具 ## 1.1 什么是Fiddler网络抓包工具Fiddler是一种用于在计算机网络上捕获和分析HTTP(S)流量的免费工具。它允许开发者监视和调试网络请求和响应,以便更好地理解和分析网络通信过程。 ...
Vue实战指南:Vue通过axios调用json地址数据的方法
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
09-20 1775
Axios是一个基于Promise的HTTP客户端,可以在浏览器和Node.js环境中使用。它支持拦截请求和响应、转换请求和响应数据等功能,非常适合用来与RESTful API进行交互。
MQTT协议抓包基础:Wireshark实战演练,新手也能轻松入门
本文首先介绍了MQTT协议的基本概念及其在物联网通信中的重要性,随后详细阐述了Wireshark工具使用方法和高级过滤技巧,为MQTT协议的分析打下基础。接着,文章深入分析了MQTT协议数据包的结构,包括控制报文的类型...
json查看工具-jsonview
05-18
查看json格式的字符串,可以树状显示其结构,便于查错
JSON 查看工具
04-20
JSON 解析工具,支持JSON字符串解析,数组类型,普通的json类型,一键接卸,非常方便,便于开发时进行阅读。
Json视图查看
01-17
Json视图查看工具,可将Json字符以视图树的形式进行展示,含源码(WPF+.Net Framework 4.5.2)
Json格式查看器(汉化中文版)-jsonviewer
03-14
Json格式查看器(汉化中文版)-jsonviewer
JSON查看器,结构化查看
08-27
JSON查看器,结构化查看JSON查看器,结构化查看
查找json数据
weixin_58520733的博客
09-14 3112
json数据呢,就是动态数据,在页面不变的情况下呢,有新的数据包产生,一般都是json数据。 html数据熟悉吧,一般都是渲染页面主体,而json数据呢是在原有的数据填充页面。 一般翻页的数据是json数据。 查看json数据 在所需数据页面右键选择>检查(比如豆瓣)>点击Network>点击Fetch/XHR>最后点击键盘ctrl+R键(就和ctrl+c复制一样)等待数据刷新。 我们将数据复制出来,然后打开json.cn,将数据粘贴到json.cn,这个网页会自动格式
JSON数据在线查看
听海边涛声
04-20 917
JSON数据在线查看
JsonViewer:轻松解析JSON数据的工具
weixin_42465140的博客
12-05 2818
本文还有配套的精品资源,点击获取 简介:JSON是广泛应用于Web服务和应用程序间的数据交换格式,易于人阅读和机器解析。JsonViewer作为一款绿色版JSON查看器,提供便捷的方式查看、理解、解析JSON数据。它支持格式化JSON内容,自定义解析,以及提供可视化的数据结构展示。此外,该软件还支持与Fiddler等网络调试工具配合,方便开发者调试Web应用。适合前后端开发...
XSStrike抓包实战
03-16
### XSStrike 工具抓包实战技巧 XSStrike 是一种用于检测跨站脚本漏洞(XSS)的强大工具。它不仅能够扫描目标网站是否存在反射型、存储型或 DOM 型 XSS 漏洞,还提供了多种功能来优化测试过程。以下是关于如何使用 XSStrike 进行抓包并执行实战的具体方法。 #### 安装与配置 在开始之前,请确保已正确安装 XSStrike 并设置好环境变量。可以通过以下命令完成安装: ```bash git clone https://github.com/s0md3v/XSStrike.git cd XSStrike pip install -r requirements.txt ``` #### 抓包实战教程 为了演示 XSStrike 的实际操作能力,可以按照如下方式进行实验: 1. **指定 URL 参数** 使用 `-u` 或 `--url` 选项提供目标站点地址。例如,在测试一个存在潜在 XSS 风险的目标时,可运行以下命令: ```bash python3 xsstrike.py -u "http://192.168.*.*/pikachu/vul/xss/xss_reflected_get.php?message=1&submit=submit" ``` 此处的参数表示向服务器发送 GET 请求,并附带查询字符串作为输入数据[^1]。 2. **启用爬虫模式** 如果希望 XSStrike 自动发现更多页面上的表单或其他交互点,则可通过加入 `--crawl` 开关实现更全面覆盖范围内的扫描工作。 ```bash python3 xsstrike.py --crawl -u "http://example.com/" ``` 3. **调整 Payloads 和 Fuzzing 策略** 默认情况下,程序内置了一系列精心设计的有效载荷列表;然而用户也可以自定义这些内容以适应特定场景需求。比如增加某些特殊字符组合或者尝试绕过 WAF 规则等复杂情况下的探测行为。 4. **处理动态 JavaScript 渲染的内容** 对于依赖大量客户端逻辑渲染出来的 HTML 片段而言,单纯依靠传统的 HTTP 协议分析可能无法有效识别其中隐藏的安全隐患。此时建议配合浏览器插件 Burp Suite 来捕获完整的请求流量后再交给 XSStrike 处理。 5. **保存报告文件** 执行完毕之后可以选择导出详细的检测结果以便后续审查和改进措施制定。利用 `--report` 参数即可轻松达成这一目的。 ```bash python3 xsstrike.py --report report.json -u "http://targetsite.com/?param=value" ``` 以上便是基于官方文档整理出来的一些基础指导方针,当然随着实践经验积累还可以探索更加深入的应用领域。 #### 注意事项 - 在公共网络环境下谨慎使用此类渗透测试软件以免触犯法律条款。 - 测试前务必获得授权许可以防侵犯他人合法权益。 ```python import requests def test_xsstrike(url): response = requests.get(url) if 'reflected' in str(response.content).lower(): print("[+] Potential Reflected XSS Found!") else: print("[-] No obvious vulnerabilities detected.") test_url = "http://192.168.*.*/pikachu/vul/xss/xss_reflected_get.php?message=<script>alert(1)</script>&submit=submit" test_xsstrike(test_url) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值