Android客户端捕获http请求包的方法【转】

转自:http://www.51testing.com/html/75/n-832375.html

Android客户端捕获http请求包的方法

字体:  小  中  大  | 上一篇 下一篇 | 打印  | 我要投稿  | 推荐标签: 软件测试 安全测试

  对于Web测试,我们可以很容易的抓取到相关的http请求包,不用什么专业软件,甚至浏览器都能帮我们完成这个功能,拿到需要的http请求连接 。

  http连接对于测试同学来说, 不论做功能、性能或是安全,都是非常重要的, 他过滤了前台的因素,让测试同学直接能对后台进行交互。

  以上是http连接的重要性,基本等于废话,下面是正题。

  客户端安全测试,同样需要拿到http的请求包,由于客户端的前段限制绕过比较麻烦,那么在做安全测试的过程中,直接拿到http的请求包显得更外重要。

  有如下方法可以拿到请求的http包:

  1、在不配置代理的情况下,对Android客户端(模拟器)的数据我们可以使用wireshark或者etherpeek等网络层抓包软件抓取,模拟器本身的数据交互是通过电脑主机的网卡进行的,所以我们通过抓包软件抓取主机网卡的数据包,经过过滤,便可得到模拟器客户端中的数据包,类似这样:

Android客户端捕获http请求包的方法【转】_第1张图片

Android客户端捕获http请求包的方法【转】_第2张图片

  访问之后,通过wireshark过滤http请求,便可找到我们刚刚发送的请求。

  当然,这是种比较麻烦的方法,不过可以更确切的看到网络包发送的内容。

  另一种办法是对模拟器配置代理,让所有请求包可以通过外部主机的七层抓包软件,例如fiddler ,burpsuite等所捕获到,配置代理需要先做一次设置:类似这样:

Android客户端捕获http请求包的方法【转】_第3张图片

Android客户端捕获http请求包的方法【转】_第4张图片

Android客户端捕获http请求包的方法【转】_第5张图片

  进 入“设置”选项之后,按照图示设置

Android客户端捕获http请求包的方法【转】_第6张图片

  这里proxy 设置为10.0.2.2是android模拟器对外部主机地址的硬编码,端口设为8888是外部主机fiddler 的监听地址,当然,如果是burpsuite 可以设置为8080。

Android客户端捕获http请求包的方法【转】_第7张图片

  那么这样的话 ,我们就能通过fiddler抓取模拟器中的数据包了, 这样对测试来讲,可以用web端的应用层工具对客户端的http数据进行处理,方便的可就多了。


你可能感兴趣的:(android)