本文详细介绍了Fiddler的十大高级应用技巧,包括动态Web调试、中间人攻击、数据包修改、自动响应设置、UWP应用调试、绕过前端限制等。Fiddler不仅可以抓取HTTP(S)数据包,还能进行深入的数据结构处理和修改,适用于各种调试场景。
1.
动态Web调试,可以抓取http&分析之,这个功能很多其他的抓包软件也可以实现;
2.
配合Proxifier可以抓取&代理原本不支持http代理但使用http协议通信的应用
3.
中间人攻击,因为fiddler本质是个http proxy自然可以给http包下断点&修改之,对于https来说可以通过信任fiddler的根证书解析https数据包 这样就可以干一些坏事了,后文会说
4.
可以把proxy端口开放至外网,意味着可以抓取其他设备的http(s)数据包,比如Android和iOS就可以在设置里设置全局http代理,所有http流量都会经fiddler以供分析 当然同样对于https,主要在浏览器访问fiddler proxy端口下载fiddler根证书&信任之就可以抓取别的设备上的https包(・ิω・ิ)
5.
丰富的数据结构处理 对于请求来说fiddler可以把参数整合成webform以表格形式把请求参数呈现出来直观明了 对于回复来说fiddler提供了多种数据处理方式比如WebView用于模拟网页渲染,Image用于模拟图片,JSON和XML用于解析回复中的json/xml数据结构,能够大大提高调试的效率
6.
AutoResponder 你可以通过设置条件使得对于特定请求可以让fiddler直接返回预定的回复内容而不是向原服务器请求后转发回复内容 通俗点讲你设置http://www.sina.com返回内容为233,当浏览器访问http://www.sina.com时fiddler会直接返回233给浏览器而不是向http://www.sina.com发送请求数据再把回复内容转发给浏览器 算是MiTM的另一种应用(・へ・)
7.
自带Windows UWP APP本地回环豁免工具 因为对于UWP应用来说微软的设定是不允许UWP应用走本地回环路线(127.0.0.1),给UWP应用的抓包带来了麻烦 所幸的是微软还是开放了一个开关来允许本地回环代理 Fiddler自带的小工具把这一过程图形/傻瓜化,使得UWP应用抓包变为可能且简单
8.
利用特性(3)就可以绕过一些前端限制,比如有个js禁止你修改xxx,你可以给这个js下断点将js判断语句删除后再发送给浏览器从而绕过这一限制
9.
利用特性(2)(3)就可以修改一些应用的数据包(不仅可抓包还可修改!),可以拿来做一些好玩的事,比如某些付费应用在验证用户输入的激活码时会和服务器通讯,你可以给服务器的回复下断点把验证失败修改成验证成功然后(>ω<)嘿嘿嘿 对于定时检测授权的程序就可以利用(6)自动回复验证成功消息,妥妥的
10.
利用(3)(4)就可以乱玩其他设备上的http(s)数据包啦,同理也可以按照(9)的步骤绕po过jie一些手机端app授权验证,当然不仅限于绕过可以干的事情更多11.利用(2)(7)可以使UWP 应用访问一些不存在的网站,比如Facebook
扫一扫
2933
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
