BurpSuite和Fiddler串联使用

最新推荐文章于 2025-03-20 17:01:58 发布
最新推荐文章于 2025-03-20 17:01:58 发布
阅读量3.7k 收藏 9
点赞数 3
分类专栏: APP测试 fiddler BurpSuite 文章标签: 软件测试 app安全 app
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xiaobai178/article/details/107927831
版权

BurpSuite和Fiddler串联使用

使用burpSuite对APP抓包时,响应会很慢,有时会超时或漏包;而使用fiddler抓包时,响应就很快了。他们都倾向于抓取请求和响应的数据,能不能进fiddler抓取的包转发到burpSuite进行进一步的截包改包等操作呢。

原理说明:
Fiddler+burpsuite串联为何会快,因为当fiddler的流量走burpsuite的时候,没有流量解析的过程,只是单纯的转发,少了最耗时的步骤,总体而言还是比单纯使用bursuite快很多。

前提:
1、确保fiddler可以单独抓取http/https:安卓机直接开启代理;ios机需要安装证书
fiddler-tools-options中设置如下图:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
2、确保burpsuite可以单独抓包
代理设置如下,一定记得勾选Running才启用,浏览器中打开代理,(抓https包时还需要导入证书),如能抓到包则设置生效
在这里插入图片描述
在这里插入图片描述

联动抓包设置
1、先打开burpsuite,将127.0.0.1:8080代理开启(8080可换成别的端口)
2、在fiddler中设置gateway-Manual Proxy Configuration为127.0.0.1:8080(和burp中端口号一致),点击OK
在这里插入图片描述
3、再次打开该窗口,点击show current gateway info可以测试是否连接成功,这样就是成功了
在这里插入图片描述
按网上教程设置成http://127.0.0.1:8080;https://127.0.0.1:8080是失败的
在这里插入图片描述
4、手机开启代理
代理地址为本机IP,端口号为fiddler-tools-connection中设置的端口号

联动抓包
手机访问http、https地址,fiddler中抓取的包转发到了burpsuite
在这里插入图片描述

[网络安全自学篇] 六十三.hack the box渗透之OpenAdmin题目及蚁剑管理员提权(四)
杨秀璋的专栏
03-27 1万+
在撰写这篇文章之前,我先简单分享下hack the box实验感受。hack the box是一个在线渗透平台,模拟了真实环境且难度较大,各种Web渗透工具及操作串联在一起,挺有意思的。本文详细讲解了hack the box机器配置,通过OpenAdmin题目分享管理员权限Flag获取流程,希望对您有所帮助。同时,该网站题目细节不便于透露,推荐大家亲自去尝试,本文更多的分享一些思想。
burpsuite抓包改包,url爬取相关工具
01-23
burp suite抓包工具可通过代理抓取web网站或手机app数据数据请求,修改、调试相关请求数据
安卓渗透指南(四)-用FiddlerBurp Suite联动抓包android手机
a2542447400的博客
03-26 2532
本篇讲解了Fiddler的安装、Fiddler的菜单汉化、Fiddler的配置手机端的配置,还有FiddlerBurp Suite联动。
使用burpsuitefiddle进行串联抓包
热门推荐
Websec
07-30 1万+
1、普及代理工具知识点 Fiddler这个代理工具是基于.Net,用c#语言编写,入门简单,功能强大,但是目前只适用于win; burpsuite是java写的,burpsuite是从底层包中解析http流量,而且具有跨平台的优势; Wireshark各个平台都有相应版本,不过门槛相对较高。 Fiddlerburpsuite在抓包上偏向请求响应的数据,但是wireshark偏向于数据帧...
10款抓包工具优缺点对比
最新发布
2501_91100273的博客
03-20 1175
IT行业近二十年的IT老炮。常年潜伏于国企、各一二线大厂中。硬件集成入行,直至虚拟技术、容器化。岗位历经系统集成、DBA、全栈开发、sre、项目经理、产品经理、部门总监。
burpsuitefiddle进行串联抓手机包,解决burpsuite抓手机包慢的问题
Cwillchris的博客
12-21 3762
我们用burpsuite抓手机的包,比如公众号、小程序、浏览器、APP,会发现手机端响应速度特别慢,效率很低,而且经常抓不到包,况且有的app(小程序)的某些功能点是对响应时间有要求的,如果使用burp响应过慢,app那边已经显示超时了。 那么我们引入另一个工具fiddle,让你的抓包快的飞起,瞬间响应,话不多说上教程 burpsuite安装设置请看我其他文章 让电脑手机处于同一WIFI,最好是电脑发射热点,让手机连 电脑按win+R,输入cmd,打开命令窗口,输入ipconfig,
Burp Suite、Wireshark与Fiddler:三款网络工具深度解析与比较
Aimmon
08-18 2175
同时,Fiddler还支持HTTPS请求的解密,使得用户能够查看分析加密的HTTP流量。其直观易用的用户界面强大的功能使得它成为Web开发测试人员的必备工具。它提供了丰富的数据包分析功能,包括过滤、统计、协议解析等,使得用户能够深入了解网络流量的细节。是一款集成化的Web应用程序测试平台,它提供了多种工具模块,用于对Web应用程序进行全面的安全测试分析。总之,Burp Suite、WiresharkFiddler都是非常实用的网络工具,它们各自具有独特的功能优势。四、三款工具的比较与选择。
Fiddler+Burp联动对小程序抓包
逸琅的博客
12-20 1727
首先打开配置页面:Tools => Telerik Fiddler Options =>HTTPS。如图所示,勾选后点击 Actions => Trust Root Certificate。
fidder、burp联动抓包
DTSknanLP的博客
08-12 2857
通过fidder将流量代理至burp 背景 fidder可以抓取所有的包,弥补了burp抓包不全的缺点,而burp使用更方便,两者结合可以事半功倍。 工具 fidder下载地址:https://www.telerik.com/download/fiddler burpsuite:https://github.com/TrojanAZhen/BurpSuitePro-2.1 配置 打开fidder.exe,Tools->Options->设置代理,即burp的监听口 [外链图片转存失败,源站可能有
App渗透——fillderburpsuite联动
王嘟嘟的博客
10-16 1254
0x00 前言 不废话直接开始 0x01 start tools->options->Geteway设置如下。 然后就可以成功导流了。
1.3.2 BurpSuite安装---1.3.3 Fiddler安装
weixin_34380948的博客
05-07 150
2019独角兽企业重金招聘Python工程师标准>>> ...
最强大最好用的Web调试工具Fiddler,有了这个burp suit就可以del了
pingguonjb的专栏
07-08 1133
http://www.cnblogs.com/TankXiao/archive/2012/02/06/2337728.html
burpsuiteV1.7.11破解版
03-30
相比fiddler好用很多,设置代理,分析定位问题,快捷方便。
burp+fiddler联动抓包
baidu_38844729的博客
11-02 668
手机流量——fiddler——burp解决问题:burp对app或小程序测试响应速度较慢,效率较低,而且经常抓不到包。
利用fiddlerburp抓取手机流量
pofesser的博客
01-12 1610
为什么这样抓取流量 用“模拟器”+“burp”抓取流量虽然好用,但有些限制 1、如果APP做了“虚拟环境检查”,打开APP就直接闪退。 2、如果APP与微信或QQ软件关联的话,“模拟器”不好操作。 3、如果APP获取定位等信息,“模拟器”无法实现。 直接手机+burp的方式我试过。很久才能拦截到数据,很影响测试心情。这个问题不知道是证书问题还是什么,有大佬可以说下吗? 实现原理 手机流量-->fiddler-->burp 实现步骤 前提 手机电脑需要在同一局域网中 具体步骤 fiddl
Burpsuite & Fiddler 解析手机HTTPS流量
weixin_34023982的博客
11-16 262
在配置好BurpSuite(或Fiddler)的代理之后假设代理地址是:10.70.73.100:8080使用手机设置代理地址,然后,再访问http://10.70.73.100:8080可以在页面上下载到证书文件,cacert.der(或fiddler.cer)cacert.der需要改一下后缀为.cer然后在WiFi的高级设置里面安装证书,就能用Bu...
Fidder+BURP抓包详细教程
m0_73720136的博客
11-13 1652
3、依次点击actions->Export Root Certificate to Desktop,桌面就会形成一个fidder证书。fiddler的官网可以选择下载,也可以选择破解版使用。下载完成打开是这样的。出现以下是没有与BP连通的,先打开BP试试看,不行打开电脑代理关闭。导入刚才桌面生成的证书。导入之后重新打开fidder。设置成功,可以正常抓包了,流量就会转到BP上。2、继续点击options进行设置。5、证书安装完成之后配置代理。4、在浏览器中配置可信证书。
使用fiddlerburp suite部分安卓APP拦截不到任何数据
a99400419的博客
07-21 664
##请教大神## 标题 部分安卓APP拦截不到数据 分别使用fiddler,burp suite,这两个工具对几个安卓APP进行拦截抓包测试,其他APP都可以拦截到数据,唯独有一个APP,开启拦截之后手机进入APP可以随意点动,就像没有拦截一样的,在csdn上面的教程也看了不少,电脑上两个工具的设置安装包括手机的代理设置,两个工具的证书安装,都是检查了几遍,这确实是不知道到底是什么原因了。。。还请大神不吝赐教。 ...
【运维安全】- BurpSuite/Fiddler简介03
chengbao0446的博客
07-18 418
1.1. BurpSuite介绍 BurpSuite是一款信息安全从业人员必备的集成型的***测试工具,它采用自动测试半自动测试的方式,包含了:Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer 通过拦截HTTP/HTTPS的web数据包,充当浏览器相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是web...
BurpSuitefiddler
01-09
### 功能对比 #### 安全漏洞测试 Burp Suite是一款专注于安全性的HTTP(S)代理工具,特别适合用于发现利用Web应用程序中的各种漏洞。它内置了多种攻击向量检测机制以及自动化扫描器来帮助渗透测试人员快速定位潜在的安全隐患[^2]。 而Fiddler虽然也能够解码HTTPS流量并允许修改请求响应内容,但在设计之初并未将重点放在安全性方面;不过这并不意味着其不具备任何有关保护措施的功能——事实上,在适当配置下(比如安装根CA证书),同样可以实现对加密连接的有效监控与篡改[^3]。 #### 用户界面及易用性 对于初次接触此类应用的新手来说,Fiddler可能更易于上手一些。这是因为它的布局直观简洁,并且提供了详尽的帮助文档支持社区资源以便于学习掌握基本操作方法[^1]。 相比之下,尽管Burp Suite拥有更为强大的功能集,但这也使得整体架构相对复杂得多,初学者可能会觉得难以驾驭。当然,一旦熟悉之后,则能发挥出巨大的效率优势特别是针对高级别的安全评估工作而言[^4]。 #### 平台兼容性 值得注意的是,Fiddler Everywhere版本不仅限于Windows操作系统,还支持macOSLinux平台上的部署运行,从而扩大了适用范围。与此同时,Burp Suite Professional版主要面向Windows用户提供服务,但也存在跨平台解决方案如通过Docker容器化等方式间接实现在其他环境下的使用。 #### 开发辅助能力 除了作为网络抓包利器外,Fiddler还能很好地服务于开发者日常编码过程中遇到的各种场景需求。例如,它可以轻松模拟不同类型的服务器错误回复给客户端查看效果如何变化;或是借助ScriptBuilder插件编写自定义脚本来处理特定任务等等。 另一方面,Burp Suite则更加倾向于为信息安全专家们打造了一个专业的攻防演练场所以及其他相关研究活动场所。因此在这部分应用场景里边表现出来的特色会有所不同,更多体现在诸如SQL注入、XSS等常见web漏洞的手动验证环节之上。 ```python import requests def send_request_with_fiddler(): proxies = { 'http': 'http://localhost:8888', 'https': 'http://localhost:8888' } response = requests.get('https://example.com', proxies=proxies, verify='path_to_certificate') return response.text def send_request_with_burp(): proxies = { 'http': 'http://127.0.0.1:8080', 'https': 'http://127.0.0.1:8080' } response = requests.get('https://example.com', proxies=proxies, verify=False) return response.text ```
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaobai178

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值