教你用Fiddler捕获HTTPS请求

安装Fiddler

这里不特别说明了，网上搜索一大把，根据安装引导一步步安装即可。（这里采用的是fiddler v4.6）

配置Fiddler

1、打开fiddler配置Tools –>Telerik Fiddler Options。

如果你想学习Fiddler抓包工具，我这边给你推荐一套视频，这个视频可以说是B站播放全网第一的Fiddler抓包工具教程，同时在线人数到达1000人，并且还有笔记可以领取及各路大神技术交流：点击文章最下方卡片

零基础玩转Fiddler抓包在测试领域应用实战！_哔哩哔哩_bilibili【Python接口自动化测试笔记及视频源码 +微信：mashang-nn 备注（b站555）即可通过 收藏等于白嫖，点赞三连才是真情！】, 视频播放量 1270、弹幕量 2、点赞数 4、投硬币枚数 2、收藏人数 20、转发人数 0, 视频作者 自动化测试码尚科技, 作者简介 领取笔记加微信：mashang-nn 备注:B站555，相关视频：Fiddler抓包工具实战全网最全最细教程，没有之一，2023年B站最新Jmeter接口测试实战教程，精通接口自动化测试只需要这一套视频，B站福利！Web自动化测试从0-到项目实战教程，免费学！！！，从0玩转fiddler抓包在测试领域的四大应用实战！，2023性能测试保姆级教程全套完整版【jmeter性能测试实战，jmeter性能测试、jmeter压力测试】，Postman接口测试使用教程+下载+安装及项目实战教程，从0玩转Fiddler抓包在测试领域的四大应用实战！，2023年最新版Jmeter性能测试项目实战讲解，从入门到精通价值8888的实战教程，Postman接口测试最牛教程接口项目实战你要的都有，接口测试神器：Apifox，究竟有多香！https://www.bilibili.com/video/BV14g4y1H7vv/?spm_id_from=333.999.0.0

2、打开HTTPS配置项，勾选“CaptureHTTPS CONNECTs”，同时勾选“Decrypt HTTPS traffic”，弹出的对话框选择“是”（即安装fiddler自己的证书）。如果手机与电脑用wifi进行连接，那还需要选择“…fromremote clients only”。如果需要监听不可信证书的HTTPS请求，需要勾选“Ignore servercertificate errors”。 

3、打开Conections配置项， 这里可以修改Fiddler代理端口号。勾选“Allow remote computersto connect”。

4、为了可以抓客户端使用httpURLConnection的包。需要通过Rules–>Customize Rules ，默认用“Fiddler ScriptEditor”打开“CustomRules.js”，在函数OnBeforeResponse里面添加以下代码：

if (oSession.oRequest["User-Agent"].indexOf("Android") > -1 && oSession.HTTPMethodIs("CONNECT")) {
            oSession.oResponse.headers["Connection"] = "Keep-Alive";
}

添加代码后为：

static function OnBeforeResponse(oSession: Session) {
        if (m_Hide304s && oSession.responseCode == 304) {
            oSession["ui-hide"] = "true";
        }
        if (oSession.oRequest["User-Agent"].indexOf("Android") > -1 && oSession.HTTPMethodIs("CONNECT")) {
            oSession.oResponse.headers["Connection"] = "Keep-Alive";
        }
    }

5、通过链接：http://download.csdn.net/detail/huiyuznk/9837991 下载fiddler证书生成器，下载后运行“fiddlercertmaker.exe”进行安装。
6、在“Telerik Fiddler Options”中“HTTPS”中，点击“CertEnroll engine”，在弹出的“Certificate Creation Preferences”中，选择Engine“MakeCert”，然后点击“OK”，生成对应证书。

7、点击“Actions”，在弹出的列表中选择“Export Root Certificate to Desktop”，把证书导出到桌面。

导出的证书

8、最后，不要忘记重启Fiddler。

配置手机
1、保证手机与PC在同一网段下。 
2、配置手机连接的wifi，可能每个手机wifi配置的方式都不太一样，多研究下，选择已经连接的网络，打开修改网络窗口。显示高级属性，配置网络代理->手动 代理服务器主机名：填写pc机的IP地址，例如：192.168.0.33，代理服务器端口号：fiddler的代理端口号，这里如8899。 
3、安装证书
Android机安装证书
1）Android连接到电脑上，从电脑上打开手机的内存卡，直接把证书复制到SD卡中。
2）点击设置—>安全—>设备管理与凭证—>从存储盘安装 （每款手机有一定差异，多研究下就好），在存储空间中找到证书，点击安装即可。

iOS机安装证书
将证书发送到邮箱中，在手机浏览器上登录邮箱，查看邮件并点击附件进行证书的安装即可。（方式一，目前新版本不可用）

直接访问安装fiddler的 电脑局域网IP 和 fiddler设置代理端口 （如 http://192.168.0.33:8899），这样就能对证书进行下载安装。（推荐使用该种方式）

最后，我们就可以对HTTPS请求接口进行捕获了。如图：

安全思考？
通过fiddler可以对https抓包，是不是就不安全的了呢，毕竟所有请求对我们来说都是透明的。其实刚才的过程很重要的一点就是我们下载并且安装了fiddler的根证书，对于pc端来说就是配置fiddler https选项时弹出的对话框，对于手机来说就是我们去“pcip地址:fiddler代理端口”这个地址下载证书的过程。
对https的安全来说，https安全的前提就是可信的根证书。 
而，之前的操作无疑是在我们系统里面安装了不可信的根证书。使得fiddler对通信造成了中间人攻击！简单的说就是我们与服务器进行通信，会先获取服务器的证书，进行校验校验过程是用本地的可信根证书进行校验，而装入fiddler的根证书后，fiddler可以伪造证书，获取我们与服务器通信的秘钥，进而破解我们的通信。所以对我们系统来说安装证书是一个非常危险的操作！