前言:建议使用Charles
一、Charles的使用
-
抓包
将网络传输数据进行截获、重发、编辑、转存等操作,也用来检查网络安全。
-
工具
Charles、Fiddler、WireShark、HTTPWatch、BurpSuite
-
Charles
简介:青花瓷、跨平台、半免费。
原理:代理服务器截获真实客户端的HTTPS请求,伪装客户端向真实服务端发送HTTPS请求
接受真实服务器响应,用Charles自己的证书伪装服务端向真实客户端发送数据内容-
安装与配置
- 安装:傻瓜式
- 破解:charles.jar替换即可
-
组件介绍
- 主导航栏
- 抓到的接口
- 请求内容
- 响应内容
-
Charles设置
-
代理设置
Proxy → Proxy Settings → 端口号(8888)
Proxy → Accept Control Settings → 勾选
-
客户端设置
- 电脑设置 → 代理服务器 → 手动127.0.0.1:8888
-
手机端设置
- 同网
- 打开WiFi → 高级→ 手动设置 →主机地址(ipconfig):8888
- Charles弹框 → deny、allow
- 安装证书
手机联网抓包
-
-
证书安装:乱码和unknown
- web证书安装
- 安装:help → SSL Proxying → install charles root certificate → 安装证书、当前用户、下一步 → 将所有证书放入下列存储,选择“受信任的根证书颁发机构” → 完成
- 导出:help → SSL Proxying → save → 路径修改证书名字和后缀
- 导入:打开浏览器 → 设置 → 管理证书 → 导入 → 下一页 → 浏览保存好证书 →下一页, 选择“受信任的根证书颁发机构” → 完成
- 手机端安装
- web证书安装
-
https
Proxy → SSL Proxying settings → 勾选enable → add
*:443 -
过滤
- 左下角filter:
- Proxy → RecordingSettings → include(包含路径)、exclude(排除路径)
-
断点
- 选择抓到的地址,右键 → breakpoints → 刷新浏览器 →修改请求
- Proxy → BreakPoints Settings → 添加路径 →修改请求
-
弱网测试
Proxy → Throttle settings → enable...填写被弱网的路径 → 选择网速
-
极端测试
1. 404:tools → blocklist → 404- 403:tools → blocklist → drop
-
压力测试:不用,没有具体性能指标输出
选中抓到的路径,右键 → RepeatAdvanced →
定位前后端bug
抓包包看 url还有参数,如果url和参数不对,前端的问题,如果没有问题
接口是否可用,如果不同,后端的问题,如果通着
看响应数据,如果响应数据是矛盾的,后端问题,如果数据没有问题就是前端问题
二、Fiddler
- 简介:抓包工具
- 原理:
- 界面:
- 菜单
- 工具栏:刷新、清除
- 会话列表:
- 功能页签
- Statistics:统计
- Inspectors:查看请求和响应
- AutoResponse:修改响应
- Filter:过滤
- 命令行:cls、bpu+url
- 状态栏
- Capturing:
- All Processes:
- 断点:三种状态
- 显示:显示抓到包的总数
- 状态
- 抓包
- 安装证书
