1).Fiddler安装
a.下载地址: http://fiddler2.com/get-fiddler
b.安装:省略(下一步...下一步即可)
2).Fiddler配置
a.允许远程计算机连接Fiddler
菜单:Tools-> Fiddler Options->Connections,勾选"Allow remote computers to connect"
注:8888为默认端口号,可修改,但需注意两点,一是本机空闲端口,二是手机代理设置时端口要一致。
b.配置可捕获HTTPS请求(*不需要捕获HTTPS,则忽略此步*)
菜单:Tools-> Fiddler Options->Connections,勾选"Capture HTTPS CONNECTs"后
再勾选"Decrypt HTTPS traffic"、"Ignore server certificate errors"
注1:勾选项英文不认识,请Google,不另做解释
3).手机安装HTTPS证书(*不需要捕获HTTPS,则忽略此步*)
a.首先确定Fiddler所在电脑的IP地址:例:192.168.8.8
b.打开被测手机浏览器,访问http://192.168.8.8:8888,点"FiddlerRoot certificate" 然后安装证书
注:Iphone、Ipad安装则很简单,点击安装即可。Android安装稍微麻烦点,则需要先设置手机锁屏密码、PIN码,安装证书时会提示,按步骤走即可。
ThinkDrive抓包实例
一期测试时,涉汲到APP安全测试,因此需要查看传输数据是否存在明文密码等。
1).开启Fiddler,确定本机IP、Fiddler端口号
本机IP:192.168.8.8
Fiddler端口号:8888
获取本机ip的方法:cmd->ipconfig
2).手机连接本机所在同网络Wifi,设置代理
a.代理主机名:Fiddler所在电脑IP
b.代理服务器端口: Fiddler使用的端口
3).APP操作,生成请求数据
通过操作APP实现的数据请求,如:
a.例:登录
b.例:退出登录
4).分析Fiddler抓包数据
a.例:登录请求分析
1).双击查看登录请求,选择WebForms或JSON等其他类标签,查看请求参数值,对照接口文档及你想要测试的点分析,请求是否正确,查看返回数据是否正确。
2).同帐号,不同密码;不同帐号,同密码等测试用例,测试多次登录后发现,密码仅为MD5加密,没有对密码进行很好的加密传输
3).分析存在以下问题:
问题1:帐号密码采用http传输,帐号与密码(MD5值)局域网可以捕获;
问题2:密码虽采用MD5加密,但传输未加密,简单密码可以在线解密(图中密码在线解密不到1秒:123qwe);问题3:密码不解密也一样可以登录,通过A帐号在app登录,再用sniffer得到的B 帐号与密码(MD5值),使用Fiddler修改A帐号的请求完成B帐号在APP登录。
