首先,我们了解一下手机抓包有什么用?
截获智能手机发出的HTTP包有什么用?
用处一: 手机软件程序员利用Fiddler,可以截获手机发出的HTTP包, 从而调试程序
用处二: 软件测试人员用于测试智能手机上的软件。
用处三: 可以用来在App应用商店中刷排名
用处四: 截获了HTTP/HTTPS后,你想干什么就干什么,比如修改Request,或者Response.
一.Fiddler抓包设置
1.安装好fiddler后,点击Tools–Fiddler Options;点击HTTPS模块,勾选Capture HTTPS CONNECTS、Decrypt HTTPS traffic(下拉框选择from all processes)、Ignore server certificate errors;在勾选时如果让安装证书,直接同意并安装即可。
2.进入Fiddler Options–Connections选项,勾选Allow remote computers to connect;
二.手机设置及安装证书
1.手机设置:
(1)先查看电脑ip地址,
方法一:cmd模式下输入ipconfig,查看IPv4对应地址;
方法二:鼠标移动到fiddler界面右上角的‘online’图标上,会显示出电脑的IP。再确认fiddler使用的端口号:在Tools–Fiddler Options–Connectioons中查看Fiddler listens on port,一般是8888.
2.安装证书
方法1:
(1)手机连接的网络与电脑是同一局域网,设置网络代理为服务器:电脑IP地址,端口:fiddler中设置的端口是8888;现在即可打开要抓包的app进行抓包了。
访问网页输入:http://代理ip+端口,下载Fiddler的证书,点击下图FiddlerRoot certificate
【注意】:如果打开浏览器碰到类似下面的报错,请打开Fiddler的证书解密模式(Fiddler 设置解密HTTPS的网络数据
方式2:
(1)手机此时打开浏览器输入IP:端口号 例:192.168.31.17:8888,跳转到 Fiddler Echo Service 证书下载页,点击FiddlerRoot certificate下载并安装;
(2)下载证书
(3)安装证书
到这里PC端与手机端抓包的环境就配置好了。
注:安卓只能使用旧手机Android 5.0系统或以下系统。
三.Fiddler日常操作
1.如上图,左侧是一些请求,右侧上方是某一请求的详细信息,可以用Inspectors–raw格式查看,右侧下方是某一请求的返回信息,一般可以用json格式查看。
在raw中可以查看请求方式(get/post/其他等)、链接、Host、body(传参)等。
2.Composer(模拟发送请求)使用:可以手动输入请求方式、链接、body等值;也可以鼠标左击选中fiddler左侧的请求拖拽到composer中,会自动填入相关信息;我们可以通过手动更改body中参数的值来测试这个请求是否安全,输入信息完毕后,点击Execute执行。在fiddler左侧可以看到执行的请求,选中并在Inspectors中可以查看请求的详细信息。
