Fiddler操作具体实践

一.发送post和get请求

使用fiddler发送post请求（带有JSON数据）和get请求（header方式传参），执行结果为200时表示操作成功。

二.替换http request host

将原本发到a.com的请求发到b.com，而在浏览器中毫无感觉

1.暂时性替换，命令行中输入：urlreplace a.com  b.com,按enter键；若是清除转发urlreplace按enter键

2.永久性替换Rules->CustomizeRules，搜索OnBeforeRequest，加入要替换域名

三.替换线上文件为另外一个文件

1.线上替换本地文件AutoResponder ->勾选Enable automaticresponses 和Unmatched requests passthrough->按下右边的Add->Rule Editor第一行修改为线上文件地址（地址也可使用正则表达式，开头加regex）->选择要替换的文件，按下save

2.线上替换线上文件：与替换本地文件步骤几乎一样，唯一不同在于Rule Editor第二行填入的是另一线上文件地址

四.fiddler模拟限速

1.原理：因为fiddler原本就是一个代理，提供了客户端请求前和服务器响应前接口，我们可在这些接口里自定义一些逻辑。Fiddler模拟限速正是在自定义限速的逻辑，延迟发送数据或接收数据的时间来限制网络的下载和上传速度。

2具体操作有以下三种类型

a.模拟限速网络环境:rules->performance->simulate modem speeds

b．自定义modem speeds:Rules->Customize Rules 

找到m_SimulateModem这个字，查看原理为每上传/下载1Kb要delay多久，算法为1000/下载速度=需要的delay的时间（毫秒），比如为50KB，延时为200

五.利用fiddler分析安全漏洞：检查程序是否存在SQL注入漏洞

1.fiddler中设置断点，然后进行关键字搜索，进行提交，fiddler会对提交的数据进行拦截，并给出相应的字段信息

2.从fiddler捕获的信息可以发现，搜索类型对应字段名称为field，栏目对应字段名称为classID，搜索关键字名称为keyword，不做任何修改将数据发送出去，查看正常情况返回数据报文如下： 

a.将正确页面作为判断标准，将classID的值修改为2 and 1=1，并提交为未搜索到对应关键字

b.再次将classID的值修改为2 and 1=2并提交后查看搜索结果显示为未搜索到对应关键字

c.提交后页面显示为未搜索到对应关键字，说明对修改后classID进行了查看，即没有进行防SQL注入设置。

以上差不多是目前工作中有用到的一些具体操作，其他还未使用到的功能有待后续去发掘学习。