使用fiddler篡改接口请求或返回的内容

已于 2023-02-10 15:03:31 修改
阅读量9.2k 收藏 85
点赞数 6
分类专栏: # 抓包工具 HTTP协议及抓包(fiddler\charles) 文章标签: fiddler 前端 测试工具
于 2019-09-06 15:52:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ak739105231/article/details/100578321
版权

目录

一、背景说明

二、fiddler安装

三、fiddler打断点

3.1 bpu命令行方式构造指定请求断点

3.2 Automatic Breakpoints配置请求或返回类型断点

3.3 快捷方式拦截指定类型所有内容

四、fiddler篡改数据

五、fiddler其他常用小知识

5.1 抓包时过滤指定请求

5.2 移动端连接fiddler

一、背景说明

篡改接口请求或返回的内容,会有什么影响?下面这些新闻,你或许有听说过。

因此,公司投入线上运营的产品中,涉及到与金额相关的流程,需要通过接口测试篡改请求和返回内容,验证项目是否做了此类的安全校验,避免公司产生不必要的财产损失。

fiddler工具我们日常的比较多的是抓包功能,该文档主要是针对如何使用fiddler篡改接口请求和返回内容的方法做出说明。

Fiddler篡改数据包的原理,以修改订单支付金额为例,如下图:

假如篡改的是支付的金额,拦截发往服务器的请求并修改金额后发给服务器,拦截服务器返回的支付成功的消息并修改金额发回给网页,网页就会误以为支付已经成功

二、fiddler安装

fiddler官网下载地址:Fiddler | Web Debugging Proxy and Troubleshooting Solutions,可下载最新版本安装使用。

默认点击下一步安装即可,安装完成后,直接打开fiddler运行。

三、fiddler打断点

fiddler工具有三种方式打断点,断点的影响范围不同,可根据测试需要选择打断点的方式。

3.1 bpu命令行方式构造指定请求断点

影响范围:仅影响指定URL操作时,会被fiddler拦截

使用该方法,首先我们需要明确知道,我们需要构造断点的请求URL。然后在fiddler下方的命令行中,输入:bpu+空格+URL,然后回车,当我们操作该接口对应的功能,被fiddler抓包识别时,对应的操作在界面中就会显示为加载中,此时,我们可以在fiddler工具中,修改该接口对应的请求或返回的数据内容,伪造请求数据或返回结果。

构造断点:输入bpu+空格+URL,回车

取消断点:输入bpu,回车

URL成功被拦截时,在fiddler中的显示如下图:

3.2 Automatic Breakpoints配置请求或返回类型断点

影响范围:所有操作的请求,或返回,都会被拦截

使用方法:fiddler工具点击Rules-Automatic Breakpoints,选择Before Requests(在请求之前拦截)或After Responses(在返回结果之后拦截)。如果需要取消拦截,选择Disabled即可。

3.3 快捷方式拦截指定类型所有内容

在fiddler工具最下一行,第三列点击,可直接达到3.2的配置效果。

点击一次:在发送请求之前拦截

点击两次:在返回结果之后拦截

点击三次:取消拦截

四、fiddler篡改数据

当前拦截的是请求接口时,可修改请求中的参数内容。如果当前拦截的是返回结果,可修改返回中的数据内容。一下用可视化修改商户调车订单的支付金额为例做出说明:

  1. 登录商户后台,登录成功
  2. 商户点击【预约用车】,填写用车条件后,点击【提交】,进入到用车列表
  3. fiddler工具使用3.3的方式,点击一次,在发送请求之前拦截

  1. 商户在用车列表中,选择一个车型点击【申请用车】,此时后台页面显示加载中

  1. fiddler查看拦截到一个请求,选择Inspectors-Raw,查看请求的接口中,包含订单的支付金额,修改支付金额为“1”,

  1. 选择【Break on Renponse】(拦截下一个返回的内容)后,自动以当前修改后的参数发送请求,并在返回内容时再次被拦截,返回的内容是在右下方的Raw中查看。

  1. 此时,就可以修改返回的内容,将返回的结果替换为其他内容,点击【Run to Completion】继续运行。

以上就是使用fiddler篡改数据包的步骤,测试过程中我们可以举一反三,不仅仅是修改订单支付金额,也可以尝试测试修改一些其他的重要数据,或在支付的不同阶段来修改请求参数和返回内容,来验证程序是否有做合理的判断校验。

五、fiddler其他常用小知识

5.1 抓包时过滤指定请求

因为fiddler工具会抓取web端的所有请求,当我们操作指定平台时,有一些其他网页的请求也会被工具抓取到,不容易找到我们自己的操作请求。这个时候可以使用filters功能过滤指定的请求内容。操作方法:

步骤一、点击Filters,选择Use Filters

步骤二、Hosts的第一个选项内容不用修改,第二个选项内容,选择为“Show only the following Hosts”

步骤三、在下方输入我们想要过滤的域名或IP地址,以英文的分号间隔开。

步骤四、点击Actions应用生效,此后fiddler抓包的内容就是我们要求过滤的指定内容了。

5.2 移动端连接fiddler

备注:如果移动端想要使用fiddler监听,首先我们的Fiddler所在的电脑和手机必须处在同一个局域网内(即连着同一个路由器)

  1. 查看fiddler使用的端口

Tools-Options-Connections,查看工具使用的端口。勾选Allow remote computers to connect选项,弹出的提示框直接点击OK

  1. 查看本机IP地址

cmd命令行,输入ipconfig,查看本机IP地址

  1. 手机设置代理

手机当前连接的wifi,修改代理为手动,IP和端口号为前面查到的内容

  1. 手机安装证书

在手机浏览器一栏输入电脑的IP地址和端口号

这里我是192.168.1.128:50879

进入一个网页,点击最下面那个FiddlerRoot certificate下载证书,下载成功后在设置里面安装

安卓安装步骤:打开高级设置->安全->从SD卡安装证书->找到证书文件->点击后为证书命名点击确定即可安装成功(具体过程请根据实际机型百度查找,关键词是从SD卡安装证书)

IOS安装步骤:打开设置-通用-描述文件与设备管理,找到我们下载到的fiddler的证书进行安装信任

  1. 移动端操作,查看fiddler工具抓包成功

该文档部分内容参考以下网址:

https://www.jianshu.com/p/4505693bdaa2?from=groupmessage

https://www.cnblogs.com/yanmou/p/9447790.html

https://blog.csdn.net/zhezhebie/article/details/80669691

https://blog.csdn.net/ychgyyn/article/details/82154433

通过Fiddler肆意修改接口返回数据进行测试
aab438346的博客
07-19 1340
[本文出自天外归云的博客园] 方法介绍与比对 在测试的过程中,有的需求是这样的,它需要你修改接口返回数据,从而检查在客户端手机app内是否显示正确,这也算是一种接口容错测试,接口容错测试属于app性能(专项)测试的其中一种。 通过Fiddler我们可以有好几种方法修改返回结果: 第一种:在Fiddler底部的黑色命令行显示区域通过bpu url的形式按回车之后进行拦截,通过手...
Fiddler 篡改数据
m0_63892927的博客
07-10 1348
篡改数据
Fidder工具抓包及篡改数据
热门推荐
转错的弯,走错的路
03-31 2万+
下载fiddler的最新版本; 运行fiddler之后测试要调试的页面是否可以捕获,刷新页面后左边列表会实时显示目前http请求的条目。如图红色部分 测试成功,开始断点捕获数据 点击菜单栏按钮【Rules】—【automatic Breakpoints】-【After Response】如图 选择这一项的意思是我要在请求返回修改返回结果 当让你也可以在下
拿走吧你,Fiddler模拟请求发送和修改响应数据
最新发布
weixin_71807218的博客
03-14 426
模拟伪造请求1、浏览器页面填好内容后(不要操作提交),打开fiddler,设置请求前断点,点击菜单fiddler,”Rules”\”Automatic Breakpoints”\”Before2、在页面上点击“提交”,提交数据;此时首先做的是一跳转;返回fiddler,点击”Break on Response”和”Run to Completion”,3、在“fiddler”,修改数据,点击”Break on Response”,将请求提交至服务器;
fiddler--fiddler抓包篡改数据请求
weixin_44844572的博客
12-01 2058
fiddler--fiddler抓包篡改数据请求
Fiddler篡改后端返回数据
KarenChen666的博客
01-03 1886
使用fiddler篡改返回数据
第十四:Fiddler抓包-篡改伪造数据-断点实战
欢迎来到本博客!
09-24 514
【代码】第十四:Fiddler抓包-篡改伪造数据-断点实战。
怎么样使用Fiddler篡改前端返回数据
阿胶@苏州的博客
03-24 937
本篇详细介绍怎么使用Fiddler篡改前端返回数据。(本方法可以灵活使用前端测试的情况下,比如需要一些特殊的数据返回来查看前端逻辑) 1连上Fiddler,设置好后可以进行抓包,具体操作看怎么使用Fiddler抓包篇。 2手机操作app找到自己想要串改的接口。 3点击AutoReponder,选中上面的接口,点击AddRule,目标接口显示再右下方的框里 4勾选上Enable ...
使用fiddler修改请求、响应数据
weixin_43107113的博客
12-30 3895
在测试的过程中,会经常遇到需要修改接口请求、响应数据,此时我们可以用fiddler来实现。 1、修改请求数据 fiddler菜单栏–>Rules–>Automatic Breakpoints–>Before Requests(快捷键F11),点击后此时对所有代理的请求都会拦截。 拦截的请求在左侧列表页,会出现向上箭头标志,点击右侧Inspectors–>WebForms,可以看到请求携带的参数,此时可以随意改动参数值,添加修改携带参数。 修改请求参数后(例如page_size改为
Fiddler拦截篡改get和post请求返回
herwaygo的博客
06-28 5011
有时为了能更好的完成测试工作,提高软件质量,单一的功能测试方法已经不能满足需求,我们需要根据实际情况加入一些合适的测试手段。 写这篇文的原因是,在实际的测试工作中,所在公司APP添加了新研发的商品及其支付功能。 做测试的可能都有跟弦,跟Money有关的项目都要小心。 下面我尽可能详细的描述下我用fiddler对APP的get和post请求进行拦截和篡改的步骤: 以下省去下载安装fiddler使用fiddler抓APP包的步骤,网上都有方法而且非常详细。 一、两种拦截方法: 1、 ...
fiddler自定义修改接口返回参数
04-06
fiddler中autoresponder设置,自定义接口返回值。模拟接口下发数据,亲测可用
基于Fiddler实现修改接口返回数据进行测试
12-17
方法介绍与比对 在测试的过程中,有的需求是这样的,它需要你修改接口返回数据,从而检查在客户端手机app内是否显示正确,这也算是一种接口容错测试,接口容错测试属于app性能(专项)测试的其中一种。 通过Fiddler我们可以有好几种方法修改返回结果: 第一种:在Fiddler底部的黑色命令行显示区域通过bpu url的形式按回车之后进行拦截,通过手机app访问指定接口,拦截到后可以选择response文件后通过拦截; 第二种:在AutoRespnder里Add Rule,然后在Rule Editor里设置response的内容; 第三种:在Rules设置中选择Automatic Breakpo
FiddlerScript修改指定参数的返回
12-18
利用FiddlerScript获取请求参数,请求中有指定参数时修改返回值。
接口自动化测试之使用Fiddler测试接口安全性
cdtaogang's blog
02-14 1万+
说明:该篇博客是博主一字一码编写的,实属不易,请尊重原创,谢谢大家! 关于Fiddler工具,早在之前的《Python接口自动化测试框架实战开发(一)》、《自动化接口实战(一)》、《电商项目测试实战(四)》系列博客中有详细介绍使用 文章目录一、Fiddler 基础1.什么是 Fiddler2.Fiddler 的运行机制二、安装 Fiddler三、Fiddler 的界面1.Fiddler 主界面2....
fiddler 篡改请求数据 - **登陆
zyl2726411159的博客
10-10 734
公司是内网,所以真机无法连接fiddler,就下载了夜神模拟器; 一、打断点 1.在请求前打断点,选择“请求之前”; 2.查看界面显示 二、输入请求参数 点击【登陆】按钮,查看界面显示: 1.打断点成功了; 2.还没有返回值; 3.fiddler中显示请求的参数; 4.可修改请求参数; 三、请求参数修改完成后,可点击按钮【运行完成】 1.篡改请求参数中的密码; 2.点击按钮【运行完成】; 四、结果 1.响应部分,显示返回的结果为:密码错误 2.请求失败,结果的响应码为404(界面显示错了…) 3
全网最细,Fiddler修改接口返回数据详细步骤实战,辅助接口测试...
大佬云集技术答疑交流群:743262921(进群暗号:222)
08-06 6048
在测试的过程中,有的需求是这样的,它需要你修改接口返回数据,从而检查在客户端手机app内是否显示正确,这也算是一种接口容错测试,接口容错测试属于app性能(专项)测试的其中一种。通过Fiddler我们可以有好几种方法修改返回结果:第1种:在Fiddler底部的黑色命令行显示区域通过bpu url的形式按回车之后进行拦截,通过手机app访问指定接口,拦截到后可以选择response文件后通过拦截;
使用Fiddler抓包、模拟弱网和篡改请求
若不知道要驶向哪个码头,那么任何风都不会是顺风。
04-22 3365
继续跟大家分享另一款网络封包分析工具Fiddler,让我们一起看一下在Fiddler工具下是如何实现抓包、模拟弱网和篡改请求的。
fiddler 怎么篡改数据信息的
shandongzhouna的专栏
12-07 1775
使用Fiddler进行HTTP断点调试
怎样实现接口篡改请求参数返回302
07-12
要实现接口篡改请求参数返回302状态码,你可以按照以下步骤进行操作: 1. 找到目标接口:首先,确定你想要篡改参数的目标接口。这可以是一个具有一定安全漏洞的网站应用程序。 2. 确定目标参数:确定你想要篡改的具体请求参数。这可以是一个关键参数,如用户ID、权限等。 3. 使用代理工具:使用代理工具(例如 Burp Suite、Fiddler等)来截取目标接口请求和响应数据。 4. 修改请求参数:在代理工具中,找到目标接口请求,将目标参数的值进行修改。将其修改为你想要的值。 5. 发送修改后的请求:将修改后的请求发送给目标接口,并观察返回的响应。 6. 检查响应状态码:如果目标接口返回的状态码为302,则表示参数篡改成功。如果状态码不是302,则需要继续调试和修改参数,直到达到预期结果。 需要注意的是,进行接口篡改是一种不道德且可能违法的行为。在实际应用中,请遵守法律法规和道德准则,确保你的行为是合法和合规的。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

冷凝娇

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值