| 关键词: 测试 攻击 接口 url fiddler 安全 面板 盖地 控制台 配置 |
fiddler简介看了很多fiddler教程,总感觉知识点零散,就在这里重新整理记录一下。完全新手入门到使用,该教程仅供对网站安全性白盒测试参考。 下载安装 建议直接下载官方版本,这个软件是免费使用的,无需下载绿色版本。 官方地址:https://telerik-fiddler.s3.amazonaws.com/fiddler/FiddlerSetup.exe fiddler使用流程1. 进入软件,首次设置代理端口和https证书设置 ![]() tools -> options 设置 https面板和connections面板,第一个面板添加一个证书,第二个面板修改监听端口,一般默认即可 然后在浏览器里设置代理地址:127.0.0.1:8888 2.浏览器已经设置代理后,访问任何网站,fiddler控制台都会记录url进行抓包 ![]() 随便点击一个url,可以看到该url参数,header,cookie,返回值等等信息 3.一般情况检测接口安全,都只希望可以监控某个网站的所有请求,而不是普天盖地的请求记录,这时候用filters ![]() 可以设置拦截规则 如,某个hosts下的请求,某个指定系统进程下的请求,参数中包含了某个值的请求等等,这样就可以进准定位需要安全测试的url。 同时,可以结合右键url中filter now进行更具体的过滤规则。 4.url篡改攻击和重放攻击 拦截到需要安全监测的url后,就可以进行安全测试主要流程。 首先可以重放攻击测试:reissue requests ![]() 重放攻击后返回服务器数据,这里是个验证码接口: ![]() 同时,这里有个接口多次重放攻击功能:reissue sequentially,可以指定次数进行访问,可以用来简单地模拟接口压力测试,应该不是并发请求模拟,所以无法进行真实的压测。 ![]() 接着,就可以进行篡改攻击,使用:reissue and edit 这里可以修改接口请求的参数,进行安全测试。 ![]() 必备小技巧1.file - save - save all sessions 保存当前设置的检测配置。每次配置还是很麻烦的,避免重复配置,要保存下来。 2.ctrl+x 清理url控制台。要找到有安全漏洞的url,需要反复寻找测试,就需要时而清理一下。 |
| 本文出处: https://www.toutiao.com/a6756853690662912520/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|