Fiddler Web Debugger 利器使用
Fiddler Web Debugger能夠記錄用戶端和伺服器之間的所有 HTTP請求,可以針對特定的HTTP請求,分析請求資料、設定斷點、調試web應用、修改請求的資料,甚至可以修改伺服器傳回的資料,功能非常強大,是web調試的利器。
Fiddler 是一款功能非常強大的web 調試利器,簡單的說你可以使用它截斷浏覽器發送給伺服器的資料包,并在修改後發送出去,這在調試SQL注入或者其他網站邏輯攻擊漏洞中非常有用,當然也有其他工具可以實作資料包的截斷與重播攻擊,比如 socketexpert+NC或者burpsuite都可以實作。但是相比較而言,Fiddler的使用最為友善。
Fiddler是一款免費共享軟體,你可以去官網下載下傳(Fiddler官網)。Fiddler的原理如下圖所示,從圖中可以看出,Fiddler充當了Browser(浏覽器)與Server(伺服器)的中間代理人角色,是以,不難了解為什麼Fiddler可以截斷浏覽器發送出去的資料包和修改伺服器傳回的資料包。
安裝完成之後運作,界面如圖
- 代理功能
Fiddler的大部分功能都是在其作為本地代理的基礎上實作的,如上面介紹的原理圖一樣,如果想實作資料包截斷功能必須要設定為代理,它的代理功能設定比較簡單,Fiddler版本2以後都是預設自動開啟代理并設定IE的使用該代理,端口為8888,代理位址127.0.0.1:8888。如果端口發生沖突需要修改端口,則依次選擇“Tools->Fiddler options->connections”,修改“Fiddlers Listens on port”的值即可。除了設定端口以外,還可以選擇代理的協定内容,可以增加對FTP協定的代理,根據自己的需要設定即可。 - 截斷功能
Fiddler的重頭好戲是截斷資料包,首先需要設定截取資料包的類型,依次打開菜單“Rules->automatic breakpoints”,可以選擇“before request”、“after response”兩種類型的截斷模式。“ before request ”用于在發送請求前修改HTTP請求的内容,常見的是修改表單資料,以跳過Browser的JS驗證。“after response ”主要用于本地開發WEB程式的測試,比如修改AJAX請求傳回的資料,檢視本地的響應政策。 下面以百度搜尋為例,說明截斷的具體使用方法。
1.将Fiddler設定為“before request”模式。
2.用google浏覽器打開www.baidu.com,搜尋 “fiddler”,如下所示
3.wd字段是搜尋關鍵字字段,修改wd為“csdn”,然後點選綠色按鈕“Run to completion”得到搜尋頁面如下圖所示
這裡隻是舉了一個小小的例子,利用Fiddler可以實作更強大的資料包截斷功能,比如烏雲上關于建行的積分兌換漏洞就用到了資料包截斷 - 指令行
我個人覺得Fiddler的指令行功能比較好,常用的指令有cls(清屏),bpu www.xx.com(截斷xx網站的請求),bpuafter www.xxx.com(截斷xx網站的響應)。 最常用的是bpu指令,這樣可以做到定點投放,不會造成所有浏覽器通路的頁面都被截斷,導緻Fiddler刷屏。 - END
這裡隻是介紹了Fiddler的資料包截斷功能,其實Fiddler還有很多有用的功能,比如:會話查詢、會話比較、建立 AutoResponder規則,具體的參考其官方文檔
轉載自:抓包工具Fiddler Web Debugger