Fiddler操作具体实践

一.发送post和get请求

使用fiddler发送post请求(带有JSON数据)和get请求(header方式传参),执行结果为200时表示操作成功。





二.替换http request host

将原本发到a.com的请求发到b.com,而在浏览器中毫无感觉

1.暂时性替换,命令行中输入:urlreplace a.com  b.com,按enter键;若是清除转发urlreplace按enter键

2.永久性替换Rules->CustomizeRules,搜索OnBeforeRequest,加入要替换域名


三.替换线上文件为另外一个文件

1.线上替换本地文件AutoResponder ->勾选Enable automaticresponses 和Unmatched requests passthrough->按下右边的Add->Rule Editor第一行修改为线上文件地址(地址也可使用正则表达式,开头加regex->选择要替换的文件,按下save


2.线上替换线上文件:与替换本地文件步骤几乎一样,唯一不同在于Rule Editor第二行填入的是另一线上文件地址


四.fiddler模拟限速

1.原理:因为fiddler原本就是一个代理,提供了客户端请求前和服务器响应前接口,我们可在这些接口里自定义一些逻辑。Fiddler模拟限速正是在自定义限速的逻辑,延迟发送数据或接收数据的时间来限制网络的下载和上传速度。

2具体操作有以下三种类型

a.模拟限速网络环境:rules->performance->simulate modem speeds

b.自定义modem speeds:Rules->Customize Rules 

找到m_SimulateModem这个字,查看原理为每上传/下载1Kb要delay多久,算法为1000/下载速度=需要的delay的时间(毫秒),比如为50KB,延时为200


五.利用fiddler分析安全漏洞:检查程序是否存在SQL注入漏洞

1.fiddler中设置断点,然后进行关键字搜索,进行提交,fiddler会对提交的数据进行拦截,并给出相应的字段信息


2.从fiddler捕获的信息可以发现,搜索类型对应字段名称为field,栏目对应字段名称为classID,搜索关键字名称为keyword,不做任何修改将数据发送出去,查看正常情况返回数据报文如下: 

a.将正确页面作为判断标准,将classID的值修改为2 and 1=1,并提交为未搜索到对应关键字

b.再次将classID的值修改为2 and 1=2并提交后查看搜索结果显示为未搜索到对应关键字

c.提交后页面显示为未搜索到对应关键字,说明对修改后classID进行了查看,即没有进行防SQL注入设置。


以上差不多是目前工作中有用到的一些具体操作,其他还未使用到的功能有待后续去发掘学习。


  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值