如何用 fiddler发送https请求 捕获 https 请求

来源:蜘蛛抓取(WebSpider) 时间:2017-07-24 02:22 标签: fiddler 捕获https
转载请标明出处:
开启 Https 抓包
Fiddler 默认下,Fiddler不会捕获HTTPS会话,需要你设置下。
from all processes : 抓取所有的 https 程序, 包括 本机 和 手机
from browsers only : 只抓取浏览器中的 https 请求
from non-browsers only : 只抓取除了浏览器之外的所有 https 请求
from remote clients only : 抓取远程的客户端的 https ,可以代表手机
开启手机 Https 抓包
如果只想抓取 手机上的所有 https 请求,就应该选中 from remote clients only 。
如何用Fiddler对Android应用进行抓包
如何开启/关闭 抓本机的包
如果需要抓取本机请求,有 3 中方式。
只需要启动程序并确保左下角为 Capturing状态 即可。
按快捷键 F12 进行切换。
File --& Capture Traffic 勾选。
注意这个很有用,可以开启抓本机的包,也可以过滤本机的包。当手机开启了开启了代理,就可以把本机的包过滤掉,专注抓手机的包,此时会话列表中都是手机的包了。
个人微信号:zhaoyanjun125 , 欢迎关注
阅读(...) 评论()https的抓包 - 咚咚锵 - ITeye博客
博客分类:
关于https的只是和抓包可以参考淘宝空见写的一篇文章,SSL协议和抓包:
我这里要介绍的是Fiddler抓包,使用Fiddler如何可以查看https加密传输的内容。之前介绍过Fiddler作为代理服务器,这里就不介绍他是什么,怎么安装了。
Fiddler抓取HTTPS包的基本原理是,先把Fiddler作为代理服务器,这样remote端的请求就会到Fiddler上来(呵呵这样才有机会去做点事情)。作为代理服务器,Fiddler可以把remote端的请求重新发送到server端,这样可以获得server的证书,和server建立连接,自然可以解密通讯的内容。至于remote端和Fiddler代理之间,Fiddler会使用自带的一个数字证书 (DO_NOT_TRUST_FiddlerRoot的CA证书)重新加密HTTPS流量,如果这个证书被列入浏览器或者其他软件信任的名单内,remote端的浏览器等软件就认为这个HTTPS通讯是可信任的,也不会弹出“证书错误”的警告。
这样配置就分两部分,第一,配置成代理服务器。第二,配置解密HTTPS流量。
配置代理服务器:打开Fiddler,Tools-&Fiddler Options-&connection,勾选“Allow remote computers to connect”,在浏览器配置好Fillder的IP加上8888端口,就可以使用代理服务了。
配置解密HTTPS流量:打开Fiddler, Tools-&Fiddler Options。选中"Decrypt HTTPS traffic",下拉列表选择from all browsers,这样Fiddler就可以抓取HTTPS的包请求了。
配置好了,重启Fiddler让配置生效,去remote发起请求,Fiddler就可以看到流量了,选中你想查看的请求,就能看到详细信息了。
上图太难,就不上了。
浏览 17498
浏览: 219363 次
来自: 上海
楼主你这不是坑人家么,测试用例都写的是错的。append效率太 ...
可以试试现在的版本,性能应该不错了https://siongu ...
博主,我重新安装后,还是loading不出来Target,求解 ...
按照更新adt后,确实就能启动了。但是更新这个adt要fanq ...
按照Window-&Preferences-&An ...3612人阅读
杂谈(12)
Fiddler不但能截获各种浏览器发出的HTTP请求, 也可以截获手机发出的HTTP/HTTPS请求,总结下Fiddler截获IPhone和Android发出的HTTP/HTTPS包,前提条件是:安装Fiddler的机器,跟Iphone、Android在同一个网络里, 否则手机不能把HTTP发送到Fiddler的机器上来。
PS:这里踩到过一个坑,手机上已经设置好代理,开启代理后,却发现手机上不了网,而且Fiddler没有请求过来,弄了半天,发现和电脑防火墙有关系。
一、准备工作
不论IPhone、Android,首先都需要配置Fiddler,打开Fiddler,Tools-& Fiddler Options(配置完后记得要重启Fiddler)。
选中&Decrpt HTTPS traffic&,Fiddler就可以截获HTTPS请求
选中&Allow remote computers to connect&,是允许别的机器把HTTP/HTTPS请求发送到Fiddler上来,如图
二、IPhone上安装Fiddler证书
这一步是为了让Fiddler能捕获HTTPS请求。如果你只需要截获HTTP请求,可以忽略这一步
1. 首先要知道Fiddler所在的机器的IP地址:假如我安装了Fiddler的机器的IP地址是:192.168.1.104
2. 打开IPhone 的Safari,访问 &http://192.168.1.104:8888, 点&FiddlerRoot certificate&,然后安装证书
3. IPhone上配置Fiddler,打开IPhone,找到网络连接,打开HTTP代理,输入Fiddler所在机器的IP地址(比如192.168.1.104)以及Fiddler的端口号8888
三、Android上安装Fiddler证书
1. Android设置代理服务器,打开wifi设置页面,长按要连接的网络,在弹出的对话框中,选择“修改网络”,如图
2. 在接下来弹出的对话框中,勾选“显示高级选项”,在接下来显示的页面中,点击“代理”,选择“手动”,在“代理服务器主机名”和“代理服务器端口”中写上前面得到的地址和端口,最后点“保存”。
3. 导证书到Android设备
Fiddler本质上是一个HTTPS代理服务器,其自己带的证书显然不会在Android设备的受信任证书列表里。
有些应用程序会查看服务器端的证书是否是由受信任的根证书签名的,如果不是就直接跳出。
所以,为了保险起见,我们要将Fiddler代理服务器的证书导到Android设备上。
导入的过程非常简单,打开设备自带的浏览器,在地址栏中输入代理服务器的IP和端口,例如本例中我们会输入192.169.11.8:8888,进入之后会看到一个Fiddler提供的页面:
点击页面中的“FiddlerRoot certificate”链接,接着系统会弹出对话框:
输入一个证书名称,然后直接点“确定”就好了。
4. 最后,不得不提这种方法的一些优点和缺点。
优点:1)手机不需要root就可以抓包; & &&2)可以用真机抓包,有些程序是抗动态分析的,能够判断自己运行在模拟器中。
缺点:1)必须要用WiFi连接; & &&2)要抓包分析的应用程序必须自己支持代理服务器的设置。
&&相关文章推荐
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
访问:30431次
排名:千里之外
原创:36篇
转载:12篇
译文:14篇
(3)(11)(11)(5)(6)(5)(14)(4)(3)安装完 Fiddler 后,我们每次打开浏览器输入 url,Fiddler 便会捕获到我们的 http 请求(Fiddler 是以代理 web 服务器的形式工作的,它使用代理地址:127.0.0.1,端口:8888. 当浏览器打开时 Fiddler 会自动设置代理,退出的时候它会自动注销代理,这样就不会影响别的程序)。但是,如果要捕获 https 的请求,我们还需要进行一些额外的设置。
要抓取走 HTTPS 的 JS 内容,Fiddler 必须解密 HTTPS 流量。但是,浏览器将会检查数字证书,并发现会话遭到窃听。为了骗过浏览器,Fiddler 通过使用另一个数字证书重新加密 HTTPS 流量。Fiddler 被配置为解密 HTTPS 流量后,会自动生成一个名为 DO_NOT_TRUST_FiddlerRoot 的 CA 证书,并使用该 CA 颁发每个域名的 TLS 证书。若 DO_NOT_TRUST_FiddlerRoot 证书被列入浏览器或其他软件的信任 CA 名单内,则浏览器或其他软件就会认为 HTTPS 会话是可信任的、而不会再弹出“证书错误”警告。
首先,打开 Fiddler,在菜单栏中依次选择 【Tools】-&【Fiddler Options】-&【HTTPS】,勾上如下图的选项。
勾上后,Fiddler 会提示你安装一个证书。安装完后点击上图中的 &Export Root..& 按钮,将证书下载到桌面。
接着将证书导入到浏览器。这里以 chrome 举例,依次选择 【设置】-&【管理证书..】 将保存在桌面的证书导入即可(其他浏览器类似,通常有个“证书”选项设置)。
也可以直接双击下载下来的证书,进行安装。
我们打开 ,这时就可以愉快地捕获 https 请求了!
细心的你可能会发现,在 https 的请求中夹杂着一些 http 的请求,并且该 session 的 Host 参数是个诡异的 &Tunnel to”,什么鬼? StackOverflow 里早已有,或者可以直接看,简单地说 fiddler 当做代理转发 https 请求的时候,就会产生 &CONNECT Tunnels&,所以大可忽略它。
ps:据说如果要捕获移动端的 https 请求,在手机上也要安装证书,详见 。可是我好像没设置也可以捕获,不知何故,待查。
随笔 - 233
评论 - 882
Trackbacks - 0本帖子已过去太久远了,不再提供回复功能。

我要回帖

更多关于 fiddler 捕获https 的文章

 

随机推荐