Fiddler的几个用法.docVIP

Fiddler的几个用法 查看请求 作用：查看请求和返回包，用户一般性检查或者自动化获取包 用法：只要打开fiddler，将界面稍作设置即可，可使用与以ie为内核的所有浏览器。 图0 其中Capturing为是否实行抓包；Web Browsers为实行抓包浏览器类型选项。 可查看内容：Statistisc、Inspectors、Timeline 1）基本数据：请求时间，请求编码，基本性能等 图1 请求所有信息 图2 时间线 图3 构造请求：Request Builder 我们可以通过fiddler构造一个自己需要的请求，可以自己全新输入，也可以从左侧Web sessions中将选定请求拖到右面Request Builder。修改补充所需要的参数后可以点击Execute执行该请求，来查看请求返回是否符合预期。 该方法的缺点是无法将请求返回输出到web浏览器上。 图4 修改请求（断请求） 一般情况下前台js会对用户输入进行过滤，而从安全角度上来讲，后台也需要对传入的数据（参数）进行过滤，因此在测试过程中需要构造类似脏数据去向后台施压，如何绕过前台的限制呢？我们使用如下方法： 首先，我们先完成一个正常的请求（从前台页面完成输入），所有的输入都符合js校验通过要求，记录下该请求。如图5 图5 我们将该url进行拷贝。如图6 图6 在工具左下方输入bpu url。如图7 图7 去除参数（当然如果你制定就是这个请求下的所有参数的话就不需要去除参数，但一般参数中都会有随机码，不去除基本不可能断住该请求）回车。如图8 图8 我们再次从前台页面调用这个cgi，可以看到左侧有请求前出现红色图标（图9），这表明该请求已经被断住。此时看该请求右边响应栏是空白的，说明请求没有被发送到cgi和后台。如图10 图9 图10 此时我们在右侧请求区可以看到该请求的所有信息，在Inspectors栏下的WebForms栏中我们可以修改该请求下的所有参数（参数名和参数值），如图11 图11 修改完参数后点击黄色的break on response按钮，让请求返送给cgi，我们就可以看到响应栏中由后台和cgi吐出的请求响应包信息。再点击绿色的run to completion，就可以在前台页面看到请求转换了 图12 修改响应（断响应） 如果我们希望看到不同的cgi吐出的响应在前台的显示，可以通过断响应的方式进行操作模拟。 获取请求的方法与3中前4步类似，只是将bpu 改成bpafter，此时请求被cgi处理后并未向前台输出，因此我们可以修改被截住的响应来观察前台页面是否能正确显示，具体操作就不罗列。 其他方法 1）bps 中断 HTTP 响应状态为指定字符的全部 session 响应。 范例： bps 404 （中断所有响应 404 的 Sessionbps （不带参数表示清空所有设置断点的 Session） bpv 或 bpm 中断指定请求方式的全部 session 响应。 范例： bpv POST （中断所有 POST 请求的 Sessionbpv （不带参数表示清空所有设置断点的 Session） g 或 go 继续所有中断的 Session