Fiddler操作具体实践

一.发送post和get请求

使用fiddler发送post请求(带有JSON数据)和get请求(header方式传参),执行结果为200时表示操作成功。

Fiddler操作具体实践_第1张图片


Fiddler操作具体实践_第2张图片


二.替换http request host

将原本发到a.com的请求发到b.com,而在浏览器中毫无感觉

1.暂时性替换,命令行中输入:urlreplace a.com  b.com,按enter键;若是清除转发urlreplace按enter键

2.永久性替换Rules->CustomizeRules,搜索OnBeforeRequest,加入要替换域名

Fiddler操作具体实践_第3张图片

三.替换线上文件为另外一个文件

1.线上替换本地文件AutoResponder ->勾选Enable automaticresponses 和Unmatched requests passthrough->按下右边的Add->Rule Editor第一行修改为线上文件地址(地址也可使用正则表达式,开头加regex->选择要替换的文件,按下save

Fiddler操作具体实践_第4张图片

2.线上替换线上文件:与替换本地文件步骤几乎一样,唯一不同在于Rule Editor第二行填入的是另一线上文件地址

Fiddler操作具体实践_第5张图片

四.fiddler模拟限速

1.原理:因为fiddler原本就是一个代理,提供了客户端请求前和服务器响应前接口,我们可在这些接口里自定义一些逻辑。Fiddler模拟限速正是在自定义限速的逻辑,延迟发送数据或接收数据的时间来限制网络的下载和上传速度。

2具体操作有以下三种类型

a.模拟限速网络环境:rules->performance->simulate modem speeds

b.自定义modem speeds:Rules->Customize Rules 

找到m_SimulateModem这个字,查看原理为每上传/下载1Kb要delay多久,算法为1000/下载速度=需要的delay的时间(毫秒),比如为50KB,延时为200

Fiddler操作具体实践_第6张图片

五.利用fiddler分析安全漏洞:检查程序是否存在SQL注入漏洞

1.fiddler中设置断点,然后进行关键字搜索,进行提交,fiddler会对提交的数据进行拦截,并给出相应的字段信息

Fiddler操作具体实践_第7张图片

2.从fiddler捕获的信息可以发现,搜索类型对应字段名称为field,栏目对应字段名称为classID,搜索关键字名称为keyword,不做任何修改将数据发送出去,查看正常情况返回数据报文如下: 

a.将正确页面作为判断标准,将classID的值修改为2 and 1=1,并提交为未搜索到对应关键字

b.再次将classID的值修改为2 and 1=2并提交后查看搜索结果显示为未搜索到对应关键字

c.提交后页面显示为未搜索到对应关键字,说明对修改后classID进行了查看,即没有进行防SQL注入设置。


以上差不多是目前工作中有用到的一些具体操作,其他还未使用到的功能有待后续去发掘学习。


你可能感兴趣的:(工具)