抓包

ios 免费抓包工具Stream https://www.52pojie.cn/thread-1002406-1-1.html 来源： https://www.cnblogs.com/51testing/p/11851806.html

抓包用来做什么不说了, 整理一下步骤 1.安装Fiddler 下载地址 http://pan.baidu.com/s/18me0A 2.设置Fiddler: a 打开Fiddler, Tools-> Fiddler Options 。 （配置完后记得要重启Fiddler）. b 选中”Decrpt HTTPS traffic”, Fiddler就可以截获HTTPS请求 选中”Allow remote computers to connect”. 是允许别的机器把HTTP/HTTPS请求发送到Fiddler上来 c 获取Fiddler所在机器的IP地址, 保存下来以后使用 我的Ip是192.168.1.100 注意Fiddler的端口是8888 4.设置模拟器/手机 联网的http代理, 在wlan设置中 5.ok 这样就可以在fiddler中抓包了 5. 手机端浏览器访问http:// 192.168.1.100 :8888，即Fiddler所在机器ip加上端口，代理上网。显示如下图页面： 来源： oschina 链接： https://my.oschina.net/u/259459/blog/473577

教程开始 安装fiddler 首先准备一台可以上网的windos电脑，准备一部智能手机。 fiddler抓包工具：下载地址（ 自行百度 一搜一大片）。安装，打开如果遇到.net framework错误，下载一个高本版的.net 即可。好了教程已经完成了一大半。 打开fiddler随便打开下浏览器。发现已经可以抓包，但想要抓手机https还需要做一些设置。 配置fiddler 打开fiddler配置Tools –> Fiddler Options. 打开HTTPS配置项，勾选“CaptureHTTPS CONNECTs”，同时勾选“Decrypt HTTPS traffic”，弹出的对话框选择是（这里是按照fiddler自己的证书）如果跟我一样手机跟电脑是用wifi进行链接的话还需要选择“…fromremote clients only”。如果需要监听不可信的证书的HTTPS请求的话，需要勾选“Ignore servercertificate errors”。 打开Conections配置项， 这里可以修改Fiddler代理端口号。勾选“Allow remote computersto connect。提示需要重启fiddler。 哈哈，高端的来了，需要写点代码。这里是为了可以抓客户端使用httpURLConnection的包。 Ruler –>CustomizeRules

身份认证安全 1.暴力破解 在没有验证码限制或者一次验证码可以多次使用的地方，使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。 简单的验证码爆破。URL: http://zone.wooyun.org/content/20839 一些工具及脚本 描述 Burpsuite htpwdScan 撞库爆破必备 URL: https://github.com/lijiejie/htpwdScan hydra 源码安装xhydra支持更多的协议去爆破 (可破WEB，其他协议不属于业务安全的范畴) 2.session & cookie类 会话固定攻击：利用服务器的session不变机制，借他人之手获得认证和授权，冒充他人。案例：WooYun: 新浪广东美食后台验证逻辑漏洞，直接登录后台，566764名用户资料暴露！ Cookie仿冒：修改cookie中的某个参数可以登录其他用户。 案例：益云广告平台任意帐号登录WooYun: 益云广告平台任意帐号登录 3.弱加密 未使用https，是功能测试点，不好利用。 前端加密，用密文去后台校验，并利用smart decode可解 业务一致性安全 1.手机号篡改 抓包修改手机号码参数为其他号码尝试，例如在办理查询页面，输入自己的号码然后抓包，修改手机号码参数为其他人号码，查看是否能查询其他人的业务。 2.邮箱或者用户篡改

1.为什么是Fiddler? 抓包工具有很多，小到最常用的web调试工具firebug，达到通用的强大的抓包工具wireshark.为什么使用fiddler?原因如下： a.Firebug虽然可以抓包，但是对于分析http请求的详细信息，不够强大。模拟http请求的功能也不够，且firebug常常是需要“无刷新修改”，如果刷新了页面，所有的修改都不会保存。 b.Wireshark是通用的抓包工具，但是比较庞大，对于只需要抓取http请求的应用来说，似乎有些大材小用。 c.Httpwatch也是比较常用的http抓包工具，但是只支持IE和firefox浏览器（其他浏览器可能会有相应的插件），对于想要调试chrome浏览器的http请求，似乎稍显无力，而Fiddler2 是一个使用本地 127.0.0.1:8888 的 HTTP 代理，任何能够设置 HTTP 代理为 127.0.0.1:8888 的浏览器和应用程序都可以使用 Fiddler。 2.什么是Fiddler? Fiddler是位于客户端和服务器端的HTTP代理，也是目前最常用的http抓包工具之一 。 它能够记录客户端和服务器之间的所有 HTTP请求，可以针对特定的HTTP请求，分析请求数据、设置断点、调试web应用、修改请求的数据，甚至可以修改服务器返回的数据，功能非常强大，是web调试的利器。 既然是代理，也就是说

/*--> */ /*--> */ 哟~哟~哟~ hi起来 everybody 今天要说说怎么在我们的 手机抓包 通过 python爬虫入门01：教你在Chrome浏览器轻松抓包 我们知道了 HTTP 的请求方式 以及在 Chrome 中摸清了一些套路 但是 除了对数据进行解析之外 有时候我们想 对请求的数据或者响应的数据进行 篡改 怎么做呢？ 我们经常在用的手机 手机里面的数据 怎么对它抓包呢？ 那么... 接下来就是 学习 python 的正确姿势 我们要用到一款强大免费的抓包工具 Fiddler 你可以到 https://www.telerik.com/download/fiddler 去下载 如果你觉得麻烦 没关系 小帅b已经帮大家下载好了 直接在公众号发送 抓包 就可以直接获取 Fiddler 啦 那么 Fiddler 是怎么玩的呢？ 一般情况下 我们通过浏览器来请求服务器的时候 是点对点的 我来给大家画个图 正常情况下 浏览器给服务器发送请求 服务器响应返回数据 但是这个时候 Fiddler非要来这里插一脚 然后 就变成这样了 Chrome发送请求给服务器的时候 会被 Fiddler 拦截下来 可以在这里修改请求参数什么的 然后 Fiddler 假装自己是浏览器 再发送数据给服务器 这个时候服务器接收到 Fiddler 的请求 还是天真的以为是 Chrome 发送的

网络地址规划表: 配置步骤: 打开电脑适配器, 双击你上网的网卡, 查看详细信息, 查看在哪个子网下, 打开(TCP/IPV4) 属性, 修改其ip地扯, 子网掩码, 默认网关和dns服务器. 连通性测试 Ping 百度www.baidu.com能ping通, 可以上网 利用wireshark对 www.baidu.com 网站进行http协议抓包分析 HTTP请求报文由请求行、请求头、空行和请求内容4个部分构成。 http请求行 请求方法字段:GET URL字段: / 协议版本:HTTP/1.1 http请求头 Accept：客户端可识别的响应内容类型列表；星号*用于按范围将类型分组。*/*表示可接受全部类型，type/*表示可接受type类型的所有子类型。 Accept-Language: 客户端可接受的自然语言 User-Agent：生成请求的浏览器类型 Accept-Encoding: 客户端可接受的编码压缩格式:gzip Host: 请求的主机名：www.baidu.com connection：连接方式：Keep-Alive HTTP响应报文由状态行、响应头、空行和响应内容4个部分构成。 http状态行 HTTP状态行协议版本:HTTP/1.1 状态码:302 状态码描述:Found http响应头 Connection: 连接方式:Keep-Alive

工具:Charles,夜神安卓模拟器,微信安装包,浏览器 来源： https://www.cnblogs.com/lishisan/p/11790805.html

前言 fiddler是个强大的抓接口工具，轻松看出接口的所有参数，这里介绍一个Composer功能它也可以进行接口测试，平时接口可能传参错误，我们可以拖拽接口来改参数直接再请求了，非常方便！ 一、Composer介绍 　　1.打开fiddler后，点击【 Composer 】即是 　　2.请求方式：可勾选请求协议是get、post、put等多种请求方式 　　2.url：输入接口的rul，如： https://www.cnblogs.com/gsxl/ 　　3.请求头部信息：例如常见的json必须要带json头部信息 　　4.请求参数：既是我们的接口入参 　　5.运行：点击Execute既是请求该接口 　　6.http版本：多个版本，一般这里不用选择 　　7.请求记录：既是我们每一次的请求都会被这里历史记录起来 二、简单请求接口测试 　　 1.选择post方式 　　2.输入url 　　3.输入json请求头：Content-Type: application/json 　　4.入参 　　5.运行 　　6.查看请求结果，选择【Inspecetors】-选择此接口-Raw请求信息与响应信息，我们可以看到登录成功 　　 7.当然我们也可以修改请求参数，比如我让账号不存在，修改错误手机号就可以了，发送请求： 三、我在测试中get的技巧 　　 1.开着抓包工具，如果发现那里存在bug

mac端的优秀抓包工具——Charles使用 一、简介 Charles是mac端的一款截取与分析网络请求的工具，在网络开发中使用其作分析，可以大大提高我们的开发效率。Charles是收费软件，一般可以试用三十天，但是可以通过相应的破解来获取服务（这里只做演示使用，希望大家购买正版软件）。Charles软件和破解包下载地址： http://pan.baidu.com/s/1ySsUy 。 二、安装与使用 下载好压缩包后，解压打开，将软件包拖入应用程序文件夹中，这时候一个原版的软件就可以让我们使用，只是有一个试用期，右键单击我们的Charles应用，显示包内容： 将如下文件夹中的jar包替换为我们破解文件夹中的jar包： 三、使用Charles在mac上进行抓包分析 在软件安装完成后，我们已经可以在mac上截取一般的网络请求了，打开软件，将Proxy设置中的Mac OS X Proxy勾选，设置为网络代理，这时候如果发生网络请求，就可以被Charles截获到 如果我们需要截取SSL协议的网络请求，这时候我们还需要安装一个证书： http://yun.baidu.com/s/1o6J2Crg 。注意将证书权限设置为始终信任。 抓获信息的界面如下： 软件的功能十分强大，Structure是将请求按域名排序，Sequence是将请求时间排序