fiddler

为何要用https? http协议的缺点 通信使用明文，内容可能被窃听(重要密码泄露) 不验证通信方身份，有可能遭遇伪装(跨站点请求伪造) 无法证明报文的完整性，有可能已遭篡改(运营商劫持) 用https能解决这些问题么？ https是在http协议基础上加入加密处理和认证机制以及完整性保护，即http+加密+认证+完整性保护=https https并非应用层的一种新协议，只是http通信接口部分用ssl/tls协议代替而已。通常http直接和tcp通信，当使用ssl时则演变成先和ssl通信，再由ssl和tcp通信。 所谓https，其实就是身披ssl协议这层外壳的http SSL/TLS是什么？ SSL 是“Secure Sockets Layer”的缩写，中文叫做“安全套接层”。它是在上世纪90年代中期，由网景公司设计的。 为啥要发明 SSL 这个协议？因为原先互联网上使用的 HTTP 协议是明文的，存在很多缺点——比如传输内容会被偷窥（嗅探）和篡改。发明 SSL 协议，就是为了解决这些问题。 到了1999年，SSL 因为应用广泛，已经成为互联网上的事实标准。IETF 就在那年把 SSL 标准化。标准化之后的名称改为 TLS（是“Transport Layer Security”的缩写），中文叫做“传输层安全协议”。 所以这两者其实就是同一种协议，只不过是在不同阶段的不同称呼。

本文主要说明了自己在设置fiddler抓取https过程中所遇到的问题及解决步骤，特别是fiddler在设置证书的环节遇到的各种奇葩问题，特此分享！ 声明：本文为原创文章，转载请注明来源：https://www.cnblogs.com/joshua317/p/8670923.html 很多使用fiddler抓包，对于http来说不需太多纠结，随便设置下就能用，但是抓取https就死活抓不了， 出现诸如以下问题： creation of the root certificate was not successful; Failed to find the root certificate in User Root List; The Root certificate could not be found; The root certificate could not be located; Fiddler 抓取https 显示 Tunnel to ... 443; 等等... 1.清除 C:\Users\Administrator\AppData\Roaming\Microsoft\Crypto\RSA 目录下所有文件（ 首次安装fiddler请忽略 ） 2.清除电脑上的根证书， WIN+R 快捷键，输入： certmgr.msc ， 然后回车， 查找所有fiddler证书，然后删除

郑重声明：本文仅限技术交流，不得用于从事非法活动 在不少电影电视剧中，主角的身边都有这么一位电脑高手：他们分分钟可以黑进反派的网络，攻破安全防线，破解口令密码，拿到重要文件。他们的电脑屏幕上都是一些看不懂的图形和数字，你能看懂的就只有那个进度条，伴随着紧张的BGM，慢慢的向100%靠近······ 上面的场景和套路是不是很眼熟？ 影视作品中的黑客当然有夸张和戏剧化的表现，不过，现实世界中的黑客也有一套他们的工具库，轩辕君梳理了常用的20个工具。有了他们，你也能化身电脑高手，成为那个瞩目的焦点。 以下分系统终端侧和网络侧两个方向，分别介绍10款常用的黑客工具。 - OllyDbg - WinDbg - IDA - APIMonitor - PCHunter - ProcExp - ProcMon - dex2jar - jd-gui - Mimikatz - WireShark - Fiddler - nmap - netcat - Nessus - SQLMap - hydra - shodan - zoomeye - metasploit 系统终端 系统终端侧的工具主要用于程序逆向分析、破解等用途。 OllyDbg 调试工具，简称OD，其名头在圈子里也算得上是顶流了。其黑客风的交互界面，丰富便捷的调试功能成为软件破解爱好者的首选利器。 WinDbg 也是一款调试工具，微软出品

Monkey怎么用的？ ①. 可以通过monkey命令来进行使用,基本命令是adb shell monkey -p 包名 -s 序列值 count(次数),其他参数根据情况需要设置,在monkey执行同时,用adb logcat命令抓取手机端日志 ②. 如果有代码能力或者有技术人员支持,可以将monkey设计成一个可视化工具,方便测试人员执行,提高测试效率. monkey测试，你们一次执行多久？ 一次执行8-10小时,伪随机事件在35万-26万次左右 monkey你们是通过app命令执行的吗？？具体用到什么参数？ 一般可以通过命令执行,我们项目用的参数有:-p包名 -s 序列值 --throttle 延迟时间 ----ignore-crashes --ignore-craash --ignore-security-exceptions --ignore-native-crashes --monitor-native-crashes count等参数 如何判断这个monkey是成功还是失败呢？ 根据monkey命令执行结束后的结果是否是monkey finished ,在这个基础上在查看手机的当前表现是否有死机等情况(如果monkey完成后,放置过程中发生问题也是需要解决的) 怎么用postman测试验证码这些？ ①. 可以使用万能验证码进行绕过 ②. 在测试阶段取消验证码功能 ③.

前言：上篇文章介绍了 .net core+Redis+IIS+nginx实现Session共享 ，本来打算直接说明后续填坑过程，但毕竟好多坑是用docker部署后出现的，原计划简单提一下.net core+Redis+docker实现Session共享，但是发现篇幅也不小，所以还是单独起草一篇，除了k8s部署docker，其它部分都有基本介绍。 1、环境准备 操作系统：Windows10 VS2019、本地Redis数据库、Windows docker 2、背景介绍 由于项目从asp.net MVC向.net core webapi迁移，一方面是技术方面的迁移，另一方面是从业务方面切割，向微服务模式转型，项目最后完成部署的结构大致如下： 总体上说，大家各自的项目有各自的部署方式，一旦做成分布式的，实现Session共享往往就不可避免了。 3、 .net core+Redis+docker实现Session共享 如果你的项目是用IIS或其它方式部署，那么这部分你可以直接跳过了，因为代码部分跟上篇文章是一样的。无非是使用windows docker 命令进行部署。 （1）用VS2019新建一个Web Api项目（RedisSessionTest） 在Startup.cs文件中添加以下代码　　 public void ConfigureServices

关于Fiddler，我是前一刻刚刚知道的东西，为了QN，什么都愿意接触一点。 【Fiddler作用】 1、抓包：获取数据详细信息 2、过滤回话：只抓取自己想要的请求 3、反向代理：改写返回数据 4、模拟网络环境 【简介】 Fiddler是一个以http协议调试代理工具，它能够检查所有你的电脑和互联网之间的http通讯，设置断点。查看所有的“进出”Fiddler的数据（cookie，html，js，css等文件）。 【使用】 1、Fiddler支持断点调试技术，能够暂停http通讯，并且允许修改请求和响应。 2、通过显示所有的http通讯，fiddler可以轻松的演示那些用来生成一个页面，通过统计页面用户可以轻松的使用多选，来得到一个web页面的总重量（页面文件及css、js）。也可以轻松的看到某个页面被请求了多少次，一级多少字节被转化。 3、用户可以插入inspector插件对象，使用.net下的任何语言编写扩展 4、通过暴露http头，用户可以看见那些页面被允许在客户端或者dialing端进行缓存 同类的工具有: httpwatch, firebug, wireshark。 【demo1 Fiddler抓取HTTPS请求进行相关配置】 参考： 《Fiddler抓包工具总结》 1、Statistics 请求的性能数据分析 2、 Inspectors 查看数据内容 3、

前言 反爬虫是网站为了维护自己的核心安全而采取的抑制爬虫的手段，反爬虫的手段有很多种，一般情况下除了百度等网站，反扒机制会常常更新以外。为了保持网站运行的高效，网站采取的反扒机制并不是太多，今天分享几个我在爬虫过程中遇到的反扒机制，并简单介绍其解决方式。 基于User-Agent反爬 简介：服务器后台对访问的User_Agent进行统计，单位时间内同一User_Agent访问的次数超过特定的阀值，则会被不同程度的封禁IP，从而造成无法进行爬虫的状况。 解决方法： 一 . 将常见的User-Agent放到ua_list中，以列表形式进行随机使用 代码示例： 二. 加载fake_useragent库，随机生成User-Agent添加到headers中 代码示例： 2 基于IP反爬 简介: 爬虫程序可能会在短时间内对指定的服务器发起高频的请求。后台服务器对访问进行统计，单位时间内同一IP访问的次数超过一个特定的值（阀值），就会不同程度的禁封IP，导致无法进行爬虫操作。 解决方法：使用代理池，并设定延迟访问 如何获取代理服务器？免费：西祠代理、快代理、goubanjia 收费：代理精灵等 代码示例： 3 基于cookie反扒 简介：网站会通过cookie跟踪你的访问过程，如果发现有爬虫行为会立刻中断你的访问，比如特别快的填写表单，或者短时间内浏览大量页面。而正确地处理cookie

HTTP缓存是WEB性能优化的重要手段 也是WEB工程师的必备知识技能 1. 缓存作用？ 降低网络带宽消耗； 降低服务器压力； 降低资源下载延迟，加快页面响应速度； 2. 本文重点... 浏览器 会 缓存一些东西(CSS、JS、图片)，那么... 缓存哪些？不缓存哪些？ 缓存多长时间？何时过期？ 缓存何时更新？ 如何不用缓存？ F5、Ctrl+F5有何异同？ .... 3. F5、Ctrl+F5有何异同？ 先来感受一波浏览器缓存机制； 测试环境：IE11、Firefox、Chrome、Opera 分析工具：Fiddler 测试代码： 测试场景： 下面直接晒测试结果... 场景1：首次加载资源（浏览器无缓存） 各浏览器表现一致，从服务器端下载完整资源，响应码200。 场景2：地址栏按ENTER重新加载 各浏览器会向服务器确认自身缓存是否过期，服务器若发现资源未改变，则响应304，指示浏览器可继续使用自身缓存，无需重新下载资源。 注：IE/Firefox的请求头一样；Chrome/Opera的请求头一样； 场景3、场景4：按F5、刷新按钮 与在地址栏按ENTER类似，各浏览器会向服务器确认自身缓存是否还可以继续使用。 场景5：按Ctrl+F5 按Ctrl+F5，浏览器会放弃自身缓存，重新从服务器下载资源。 4. HTTP缓存体系 下面展开讲解 If-Modified-Since

原文: 推荐一个比FiddlerCore好用的HTTP(S)代理服务器 为什么不用FiddlerCore？ 说到FiddlerCore大家可能会比较陌生，那么它哥Fiddler就比较熟悉了；抓包、模拟低带宽、修改请求我平时比较常用。Fiddler的本质就是一个HTTP代理服务器。 FiddlerCore是Fiddler去除了UI的核心组件，可以用于二次开发。如下图所示： Fiddler主要有以下几点感觉很别扭： API命名不规范、属性/字段混用。 .NET中普遍采用Pascal命名规范，而Fiddler的命名就像个大杂烩。例如：public成员用字段，CONFIG类名，oSession参数名 不支持异步。所有的回调都是同步。 框架设计不合理，不支持多实例，大量使用了静态方法。所有方法都堆到了Session类中不易于扩展，起码Request/Response也得分开啊。 单就以上几点我感觉这框架完全没有设计可言，如果没有别的选择FiddlerCore我或许就将就用了，好在Github上已经有人先一步重新实现了FiddlerCore Titanium-Web-Proxy介绍 一个跨平台、轻量级、低内存、高性能的HTTP(S)代理服务器，开发语言为C# https://github.com/justcoding121/Titanium-Web-Proxy 功能特性 支持HTTP(S

原文: C# FiddlerCore 抓取 C# FiddlerCore 抓取 本文目的 情景介绍 添加引用 初始化FiddlerCore 实现事件处理 启动、停止 冷启动 彻底停止 热启动、停止 方式一：解绑事件处理函数 方式二：解除系统代理 终端设置 抓取本机请求 抓取非本机请求 保证目标终端与代理机处于同一网段 下载证书 安装证书 设置代理 真正开始抓取 待实现 项目合作 本文目的 记录FiddlerCore怎样实现以下功能： 抓取本机的请求响应 抓取本机局域网内其它设备的请求响应 情景介绍 用 C#调用FiddlerCore ，开发出软件，本软件可以抓取本机（ 运行本软件的电脑 ）上的http/https请求响应，可以抓取同一局域网内设备（如本机局域网ip为192.168.1.2，路由器ip为192.168.1.1，同一路由器下还连接了一部手机，其ip为192.168.1.3，那么，这个手机的http/https也是可以抓取的）。 添加引用 需要的库文件： BCMakeCert.dll CertMaker.dll FiddlerCore4.dll FiddlerCore4.pdb FiddlerCore4.xml using Fiddler ; 1 初始化FiddlerCore //https代理 Proxy oSecureEndpoint ; //主机名 string