fiddler抓包工具的使用
fiddler抓包工具的使用
【什么是fiddler?】
Fiddler是位于客户端和服务器端的HTTP代理,也是目前最常用的http抓包工具之一。
功能
它能够记录客户端和服务器之间的所有http请求,可以针对特定的http请求,分析请求数据、设置断点、调试web应用、修改请求的数据,甚至可以修改服务器返回的数据,功能非常强大,是web分析和调试的利器。
如何设置
代理也就是说:客户端的所有请求都要先经过Fiddler,然后转发到相应的服务器;反之,服务器端的所有响应,也都会先经过Fiddler然后发送到客户端,基于这个原因,Fiddler支持所有可以设置HTTP代理为127.0.0.1:8888的浏览器和应用程序。使用了Fiddler之后,web客户端和服务器的请求如下:
常用抓包工具:httpwatch、firebug、charls
火狐为例:
火狐浏览器,右上角点击选项--设置
设置完后上不了外网,如要上网就要取消代理
【利用Fiddler录制web请求】
1、打开浏览器,设置代理服务器为127.0.0.1,端口号:8888
2、打开Fiddler,然后打开浏览器,进行目标网站访问
3、录制的请求在session面板展示如下:
【Session会话展示器】
web Session面板:主要是fiddler抓取到的每条请求(每一条称为一个session),
主要包含了请求的url,协议,状态码,body等信息,详细的字段含义如下图所示:
1、# :这列记录的是请求资源的类型
2、Result :记录每个请求的响应结果
3、Ptotocol :记录每个请求使用的协议
4、Host :记录请求地址的域名
5、Url : 记录请求的地址
6、Body :响应数据的大小,以byte为单位
7、Content-Type :指定请求响应的数据类型
8、Process :记录发出此请求的windows进程
常见的请求资源:
常见的Result:
200:代表服务器响应成功
404:服务器上没有该资源,地址不对
500:服务器异常
【Filters(过滤器)】
regex:(?insx).*\.(css|js|png)$
解释:regex :正则表达式
\. 表示后面的是文件文件
| 表示“或”的意思,表示显示哪些文件 例如:js|css|png
ctrl+f5 :强制刷新页面
【Inspectors观察器】
分为上下两个部分,上半部分是请求头部分,下半部分是响应头部分。
对于每一部分,提供了多种不同格式查看每个请求和响应内容:
JPG格式使用ImageView就可以看到图片;
HTML/JS/CSS使用TextView就可以看到响应的内容;
Raw标签可以查看原始的符合HTTP标准的请求头和响应头;
JSON格式可以查看json数据;
XML格式可以查看xml数据
【Composer设计器】
我们可以通过Composer来模拟浏览器发出请求,来完成某些接口的测试
1、在Inspectors里面,点击raw,查看详细的请求信息
2、把正常请求的请求头给拷贝过去,放到Composer的头部
3、把正常请求提交的参数拷贝到Composer下的request body
4、点击“execute”提交请求
密码没有加密
【利用Fiddler设置断点进行调试修改】
before request
设置断点:bpu xxx(来对url中包含了xxx的请求设置断点,这样请求在到达服务器之前会
被中断)
取消断点:bpu(不携带任何参数)
after request
设置断点:bpafter xxx(来对url中包含了xxx的请求设置断点,这样响应在到达客户端
之前会被中断)
取消断点:bpafter(不携带任何参数)
补充:
如何验证后台做了数据校验,可以通过设置断点拦截数据,将数据改为非法数据,运行提交到后台,查看返回值是否做了校验
【Fiddler常用命令】
1、select xxx :可以筛选出所要查的类型请求
例:select image,筛选出所有图片请求
2、?text : 匹配出所有url中包含“text”的请求
3、>size 和 <size :选择响应大小大于某个size(单位是b)或小于某个size的所有请求
4、=status:选择响应状态等于给定status的所有请求
5、@host:选择包含指定host的全部请求
在页面下方黑色的输入框输入
如何判断是前台还是后台bug:1、点击了操作按钮,但是没有向后台提交操作请求(前台)
2、提交了请求,但是没有任何响应(后台)
【总结:fiddler作用】:
1、定位ui bug
2、完成接口测试
3、查看接口提交的数据
4、查看接口返回的数据
5、完成安全测试
