首页 网络安全 渗透测试 查看内容

使用fiddler对网站安全白盒测试

2019-11-9 10:42 |来自: 互联网 2238 0

摘要: fiddler简介看了很多fiddler教程,总感觉知识点零散,就在这里重新整理记录一下。完全新手入门到使用,该教程仅供对网站安全性白盒测试参考。下载安装建议直接下载官方版本,这个软件是免费使用的,无需下载绿色版本。官方地址:https://telerik-fiddler.s3.amazonaws.com/fiddler/FiddlerSetup.exefid ...
关键词: 测试 攻击 接口 url fiddler 安全 面板 盖地 控制台 配置

fiddler简介

看了很多fiddler教程,总感觉知识点零散,就在这里重新整理记录一下。完全新手入门到使用,该教程仅供对网站安全性白盒测试参考。

下载安装

建议直接下载官方版本,这个软件是免费使用的,无需下载绿色版本。

官方地址:https://telerik-fiddler.s3.amazonaws.com/fiddler/FiddlerSetup.exe

fiddler使用流程

1. 进入软件,首次设置代理端口和https证书设置

tools -> options 设置 https面板和connections面板,第一个面板添加一个证书,第二个面板修改监听端口,一般默认即可

然后在浏览器里设置代理地址:127.0.0.1:8888

2.浏览器已经设置代理后,访问任何网站,fiddler控制台都会记录url进行抓包

随便点击一个url,可以看到该url参数,header,cookie,返回值等等信息

3.一般情况检测接口安全,都只希望可以监控某个网站的所有请求,而不是普天盖地的请求记录,这时候用filters

可以设置拦截规则 如,某个hosts下的请求,某个指定系统进程下的请求,参数中包含了某个值的请求等等,这样就可以进准定位需要安全测试的url。

同时,可以结合右键url中filter now进行更具体的过滤规则。

4.url篡改攻击和重放攻击

拦截到需要安全监测的url后,就可以进行安全测试主要流程。

首先可以重放攻击测试:reissue requests

重放攻击后返回服务器数据,这里是个验证码接口:

同时,这里有个接口多次重放攻击功能:reissue sequentially,可以指定次数进行访问,可以用来简单地模拟接口压力测试,应该不是并发请求模拟,所以无法进行真实的压测。

接着,就可以进行篡改攻击,使用:reissue and edit

这里可以修改接口请求的参数,进行安全测试。

必备小技巧

1.file - save - save all sessions 保存当前设置的检测配置。每次配置还是很麻烦的,避免重复配置,要保存下来。

2.ctrl+x 清理url控制台。要找到有安全漏洞的url,需要反复寻找测试,就需要时而清理一下。

本文出处: https://www.toutiao.com/a6756853690662912520/
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部