1. 首先从官网上下载fidller , 目前已经到4的版本了, 注意的是4这个版本安装需要网络 , 不支持本地安全,如果没网环境下安装, 请在网上下载2.x的版本。
官网地址:https://www.telerik.com/fiddler
2.x版本:https://pc.qq.com/detail/2/detail_4502.html
注:Fidller安装需要.NET插件支持, 确保电脑上已经安装 ,Fiddler4.x和Fiddler 2.x本质上是相同的代码;Fiddler4是针对.NET4编译的,而Fiddler 2.x目标.NET2。目前Fidller2 .x已经暂停更新。
2.安装Fildller , 就傻瓜式安装, 下一步就行 , 直到安装成功为止,打开Fidller点击Tools--->Options
期间弹出所有的弹框都选择yes就行
3. 设置端口和允许远程访问, 一般设置的端口尽量不和系统中其他端口冲突,第一个可以勾上也可以不勾,那个是抓FTP包的选项, 不太常用
4. 对浏览器设置代理, 打开浏览器这里以谷歌浏览器为例 ,点击设置 ---->高级------> 其他浏览器设置类似, 可自行百度。
连接------>点击局域网设置代理,到此为止就可以对浏览器访问进行抓包,包括http和https请求都可以。
5.fidller抓取手机https和http请求 ,先给手机(这里以Android荣耀手机为例, 其他手机类似, apple手机自行百度)装上fidller的证书, 在手机浏览器输入http://ip:8888, 点击 FidllerRoot Certifacate下载,如下图:
然后在文件管理中进行安装 , 点击确定完成安装 , 如下图:
6.查看是否安装成功 , 点击设置------>安全和隐私----->更多安全设置----->受信任的凭据 ,如果要删掉证书, 也是找到用户证书, 进行删除 , 如下图:
在连接的WiFi中修改网络(注意你的手机和电脑要在同一局域网中), 设置成fidller , 进行代理配置,如下图:
完成之后 , 就可以对手机进行http和https抓包啦 。
6. Replay为http请求刷新功能, 有时候会没有加载完整, 可以进行刷新, remove all 即为清除所有http请求。
7.可以右击 , 点击Reissue Requests可以进行请求重放
点击Reissue and Endit 可以对请求进行修改再发送
8.fidller的Filter的使用, 点击右边视图 Filters,出现如下图所示可以用来过滤http请求
第一个No Zone Filter不太常用,主要是用来过滤内网和外网的
show only intranet hosts : 表示显示内网主机请求
show only internet hosts: 表示显示外网主机请求
第二个No Zone Filter较为常用
show only the following hosts : 只显示你设定的主机名称,如果你要显示多个主机名, 用分号隔开即可
hide the following hosts: 隐藏所显示的主机名称
Flag the following hosts:对显示的主机打上标记,不太常用
show only if URL contains: 显示你要过滤出来的主机地址 , 比如输入 jd.com 就会过滤出只和京东相关的请求 , 最常用
9.fidller拦截请求并进行数据篡改,以boss直聘登录页面为例,在fidller底部框输入:
bpu https://login.zhipin.com/login/account.json
修改成错误的密码, 如下图所示 ,可以测出该处存在用户密码猜测漏洞, 应进行模糊提示。
