Fiddler常用功能
Fiddler官网: https://www.telerik.com/fiddler
下载安装后就可以抓包了,Fiddler打开后会默认修改代理,端口号8888。
抓HTTPS包需要修改部分设置 Tools → Options
下面介绍下简单的使用
★ 设置过滤器
上图设置是指只抓www.baidu.com此地址的包,设置完毕后点击Actions → Run Filterset now 执行设置。
▲ Hide the following Hosts 隐藏过滤到的指定地址
▲ Show Only The Following Hosts 只显示过滤到的地址
▲ Flag The Following Hosts 标记过滤到的地址
打开浏览器,进入百度输入123,通过Fiddler可以看到我们已经抓到了 指定域名的请求了
★ 篡改请求
在Fiddler最下方这个位置点击左键,当图标显示
,说明已经开启拦截请求了
在百度登录页输入账号密码,点击登录
在Fiddler中就可以看到拦截到的请求了,由于Baidu登录是Get请求,所以我们直接修改URL就可以,如果是Post请求,在请求体中直接修改即可。修改完毕之后点击 Run to Completion
应用场景:
如果你公司没有接口文档,又需要你测试接口,可以通过抓包修改参数的方式进行测试。
★ 篡改响应
在修改拦截请求的地方再次点击左键,显示这个
图标说明开启拦截响应了。
依然是百度登录
拦截后可以修改响应头,响应体,状态码;修改后依然是点击Run to Completion。
应用场景:
在测试中,我们可以查看某些场景下返回错误状态码 或 错误的内容,前端提示以及展示是否正确,某些场景还可以通过修改响应数据进行越权操作;
注:再次点击左键显示
空白,表示恢复到了正常(不拦截)。如果是右键点击此处,状态顺序变更为 篡改响应 → 篡改请求 → 默认
★ 并发
Fiddler可以做简单的并发操作,可以帮助我们测试一些线程安全问题;
在请求列表中选中需要并发的请求,按Shift + R,输入需要并发的次数
应用场景:
一般用于添加、修改数据的请求,例如转账操作,账户金额:100元,向另一个账户转账50元;
对转账请求设置并发20。完毕后看账号金额是否正确;
或者是限购商品,fiddler开启拦截请求,前端购买限制商品,fiddler抓到包后,关闭拦截请求,设置该接口并发数量,看是否可以超过限购次数。
具体并发数和适用场景可以根据公司实际业务在进行操作。
★ 自定义请求
Fiddler也支持自定义请求,可以直接从抓包请求中复制请求头和请求体,粘贴到对应的位置,点击右上角
即可发送请求。发送成功后也会在请求列表中显示。
★ 手机抓包
Tools → Options → Connections,开启下图中的选项。
如果遇到问题,可以试着开启这个设置试试。
在Fiddler右上角Online 查看本机IP,此处有个小坑(我的是显示了一堆IP,但是只有最下面的可以使,不行就多试试)
手机需要在同网络下操作,如果你的台式机是插网线,没有同网络下的热点。
可以用电脑开启热点(Win10)设置 → 网络和Internet → 移动热点
然后手机连接上电脑分享的热点,设置IP是电脑的IPV4的地址,端口Fiddler默认 8888(可以在Options中修改)
然后用手机浏览器输入 PC的IP地址+Fiddler设置的端口号 例:192.168.37.1:8888 ,会显示下方页面
点击FiddlerRoot certificate下载证书
下载完毕后找到下载的证书,点击安装
安装完毕后即可访问HTTPS了
手机浏览器访问百度,从Fiddler的列表中可以查看到已经成功抓到手机的包了
也可以直接在Options → HTTPS中直接下载证书,复制到手机中安装
苹果手机如果安装完毕后,依然无法访问HTTPS,需要看下证书是否开启信任证书;在 设置 → 通用 → 关于本机 中查看
注:关闭左下角这个图标后Fiddler将不会抓取PC端包,但不影响手机抓包
