fiddler到底能做什麼?
fiddler可以攔截http請求並修改數據,但是這種修改只是限於本地本機的修改,感覺意義不大啊。對於返回包也能改,但難道不只是本機瀏覽器顯示的數據有變嗎?除了模擬發包,感覺fiddler攔截修改包意義不大啊。請高手指教,有例子最好了。
Fiddler可以乾的東西太多了,甚至在早期曾經救了我的知乎賬號
1.動態Web調試,可以抓取http分析之,這個不說了,別的很多抓包軟體也可以實現
2.配合Proxifier可以抓取代理原本不支持http代理但使用http協議通信的應用
3.中間人攻擊,因為fiddler本質是個http proxy自然可以給http包下斷點修改之,對於https來說可以通過信任fiddler的根證書解析https數據包 這樣就可以干一些壞事了,後文會說
4.可以把proxy埠開放至外網,意味著可以抓取其他設備的http(s)數據包,比如Android和iOS就可以在設置里設置全局http代理,所有http流量都會經fiddler以供分析 當然同樣對於https,主要在瀏覽器訪問fiddler proxy埠下載fiddler根證書信任之就可以抓取別的設備上的https包(??ω??)
5.豐富的數據結構處理 對於請求來說fiddler可以把參數整合成webform以表格形式把請求參數呈現出來直觀明了 對於回復來說fiddler提供了多種數據處理方式比如WebView用於模擬網頁渲染,Image用於模擬圖片,JSON和XML用於解析回復中的json/xml數據結構,能夠大大提高調試的效率
6.AutoResponder 你可以通過設置條件使得對於特定請求可以讓fiddler直接返回預定的回復內容而不是向原伺服器請求後轉發回復內容 通俗點講你設置http://www.sina.com返回內容為233,當瀏覽器訪問http://www.sina.com時fiddler會直接返回233給瀏覽器而不是向http://www.sina.com發送請求數據再把回復內容轉發給瀏覽器 算是MiTM的另一種應用(?へ?)
7.自帶Windows UWP APP本地迴環豁免工具 因為對於UWP應用來說微軟的設定是不允許UWP應用走本地迴環路線(127.0.0.1),給UWP應用的抓包帶來了麻煩 所幸的是微軟還是開放了一個開關來允許本地迴環代理 Fiddler自帶的小工具把這一過程圖形/傻瓜化,使得UWP應用抓包變為可能且簡單
8.利用特性(3)就可以繞過一些前端限制,比如有個js禁止你修改xxx,你可以給這個js下斷點將js判斷語句刪除後再發送給瀏覽器從而繞過這一限制
9.利用特性(2)(3)就可以修改一些應用的數據包(不僅可抓包還可修改!),可以拿來做一些好玩的事,比如某些付費應用在驗證用戶輸入的激活碼時會和伺服器通訊,你可以給伺服器的回復下斷點把驗證失敗修改成驗證成功然後(&>ω&<)嘿嘿嘿 對於定時檢測授權的程序就可以利用(6)自動回復驗證成功消息,妥妥的
10.利用(3)(4)就可以亂玩其他設備上的http(s)數據包啦,同理也可以按照(9)的步驟繞po過jie一些手機端app授權驗證,當然不僅限於繞過可以乾的事情更多
11.利用(2)(7)可以使UWP 應用訪問一些不存在的網站,比如Facebook,具體我不說了大家都懂(^_^)/
============================
為什麼說fiddler曾經救過我的知乎賬戶呢
一開始我註冊知乎的時候用米國手機號碼註冊的
知乎註冊界面里也可以選擇手機所在國家
嗯…到這裡都沒問題
直到某一天手機系統重裝,我把知乎重新下載回來準備登錄知乎賬號的時候
exm??怎麼僅支持中國大陸手機號碼登錄???
說好的可以用國外手機號註冊結果只能用中國大陸手機號碼登錄彷彿你在逗我笑?
P.S.:這件事已經是幾個月前的事了,那時候知乎安卓端和網頁端都僅支持中國大陸手機登錄
當時我註冊完了以後也沒有綁定郵箱,也沒法用郵箱登陸
這不就尷尬了么
後來想了一會兒,可以試著用fiddler抓包看看發送了什麼數據
後來…就利用了上文的(10)
發現當我用手機驗證碼註冊的時候
知乎安卓端向知乎請求了一個發送手機驗證碼的http數據包
請求參數很簡單,只有一行內容
phone=0086150xxxxxxxx
woc!!!
趕緊把參數改成
phone=001754xxxxxxx
這才收到了驗證碼…後來成功登錄
→_→
幸好之前修了否則我真要打人了
=========================
其實認識的大觸都說burpsuit好用可能是因為我遇到的第一個web調試工具就是fiddler所以對他十分鐘愛吧。
總之兩個都各有優缺點,綜合使用就是最佳
(??ω??)
瀉邀。
90%的用法是攔截HTTP請求,分析request和response的具體細節,協助排查前後端聯調開發中的問題。
9%的用法是打HTTP「斷點」,修改request請求,繞過前端js限制。這個不限於本地還是remote伺服器。因此,對於高手來說,前端js的限制基本不算限制。黑客工具中類似的是burpsuite,功能還要強大。可自行了解。
沒人用它來使UWP應用通過代理么。。。我原來用的Proxifier,但對UWP無效,只對win32有效,後來就改用fiddler了。。。
神器不用過多解釋, 我補充一條大家不知道的
目前其母公司 為一家以色列公司.做什麼的呢?做網站媒體端廣告監控,惡意行為監控等等..
做的是pub端品牌安全的生意. 原理是用高級爬蟲去目標網站,監控指定廣告位,以及頁面的惡意廣告代碼. 那麼顯然 他們需要很多代理,以便有足夠多的檢測ip , 即分地域 分時段,不定頻次的去訪問網站,對廣告位進行抓圖分析,同時也對dom結構進行監控,對異常行為的腳本進行監控.
他們號稱有極其豐富的ip/代理等資源.
我在想,如果針對他們的攻擊者採用蜜罐的手段,拿到他們全地域固定ip還是不困難的. 那麼他們怎麼生存的? 必然同時有相當豐富的動態ip資源來保障就是了..我要開腦洞了, fiddler 本來就是個在客戶端 代理程序... 真好
新聞經常報道的一分錢沖幾萬話費的就是它
我連是什麼都不知道!邀請我做甚?
居然沒人說用它擼東西的ヾ(^。^*)
q?a
謝邀。
不好意思,沒用過個這個,不懂。
謝邀。
fiddler是一個HTTP調試工具。抓包,修改包都是為了分析,調試。它並不是一個「黑客」工具。
常見的一個用處是分析網站的登錄過程,然後寫爬蟲。比如你要用爬蟲爬一個小說app里的小說,是沒法爬網頁那樣看源碼的。就可以分析協議找到api。
最重要的是fd可以解析出https的內容。
再說一個,本地修改意義怎麼不大?有些app是聯網檢測激活的...
推薦閱讀: