超详细的fiddler教程,从小白到精通 _黑客技术

前言

在前面的文章中，我们讲到过抓包工具burpsuite的使用。工具虽然比较强大，但是新手初次使用时，需要安装java环境。这便有了一定的门槛，本文为大家详细介绍Windows平台下开箱即用的抓包工具Fiddler

关于

Fiddler是最强大最好用的Web调试工具之一， 它能记录所有客户端和服务器的http和https请求。允许你监视、设置断点、甚至修改输入输出数据。Fiddler包含了一个强大的基于事件脚本的子系统，并且能使用.net语言进行扩展。换言之，你对HTTP 协议越了解，你就能越掌握Fiddler的使用方法。你越使用Fiddler，就越能帮助你了解HTTP协议。Fiddler无论对开发人员或者测试人员来说，都是非常有用的工具。

【----帮助相关技术学习，以下所有学习资料文末免费领！----】

下载安装

我们直接到官网进行下载即可。官网地址：https://www.telerik.com/fiddler

官网下载

文件比较小，6M左右。下载完成后直接安装。

安装完成后，效果如下所示

面板介绍

左侧面板

Result : HTTP响应的状态

Protocol：请求使用的协（HTTP/HTTPS）

HOST：请求地址的域名/ip

URL：请求的服务器路径和文件名，也包含GET参数

BODY：请求的大小，以byte为单位

Content-Type：请求响应的类型

Caching：请求的缓存过期时间或缓存控制header的值

Process：发出此请求的Windows进程及进程ID

Comments ：用户通过脚本或者菜单给此session增加的备注

custom：用户可以通过脚本设置的自定义值

右侧面板

🕸Statistics统计页签

通过该页签， 用户可以通过选择多个会话来得来这几个会话的总的信息统计，比如多个请求和传输的字节数。选择第一个请求和最后一个请求， 可获得整个页面加载所消耗的总体时间。从条形图表中还可以分别出哪些请求耗时最多， 从而对页面的访问进行访问速度优化

🐼inspectors检查页签

它提供headers、textview、hexview,Raw等多种方式查看单条http请求的请求报文的信息，它分为上下两部分：上部分为HTTP Request（请求）展示，下部分为HTTPResponse（响应）展示

🎃AutoResponse自动响应页签

Fiddler最实用的功能， 它可以抓取在线页面保存到本地进行调试， 大大减少了在线调试的困难， 可以让我们修改服务器端返回的数据， 例如让返回都是HTTP404或者读取本地文件作为返回内容。

🍀composer构建页签

支持手动构建和发送HTTP， HTTPS和FTP请求， 我们还可以从web session列表中拖曳session， 把它放到composer选项卡中， 当我们点击Execute按钮， 把请求发送到服务器端。

🍧log日志页签： 打印日志

🍭Filters过滤页签

过滤器可以对左侧的数据流列表进行过滤， 我们可以标记、 修改或隐藏某些特征的数据流。

抓HTTPS包

默认情况下，只能抓http的数据包，想要抓https的数据包，我们需要简单的设置。点击tool-options-https勾选如下

接着点击Actions-Export Root Certificate to Desktop，此时桌面上会出现这个文件：

接着我们需要在浏览器上导入证书，以谷歌浏览器为例：点击设置-安全和隐私设置-安全-管理证书：

现在，我们便可以抓到https的包了。

拿下NISP-SO网络安全证书之后，身为普通的你可以：

跨越90%企业的招聘硬门槛

增加70%就业机会

拿下BAT全国TOP100大厂敲门砖

体系化得到网络技术硬实力

IE大佬年薪可达30w+

如何入门学习网络安全【黑客】

【----帮助网安学习，以下所有学习资料文末免费领取！----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集（含答案）
> ⑧ APP客户端安全检测指南（安卓+IOS）

大纲

首先要找一份详细的大纲。

学习教程

第一阶段：零基础入门系列教程

该阶段学完即可年薪15w+

第二阶段：技术入门

弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞

该阶段学完年薪25w+

阶段三：高阶提升

反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练

该阶段学完即可年薪30w+

CTF比赛视频+题库+答案汇总

实战训练营

面试刷题

最后，我其实要给部分人泼冷水，因为说实话，上面讲到的资料包获取没有任何的门槛。

但是，我觉得很多人拿到了却并不会去学习。

大部分人的问题看似是“如何行动”，其实是“无法开始”。

几乎任何一个领域都是这样，所谓“万事开头难”，绝大多数人都卡在第一步，还没开始就自己把自己淘汰出局了。

如果你真的确信自己喜欢网络安全/黑客技术，马上行动起来，比一切都重要。

资料领取

上述这份完整版的网络安全学习资料已经上传网盘，朋友们如果需要可以微信扫描下方二维码 即可自动领取↓↓↓
或者
【点此链接】领取