抓包工具Fiddler篡改请求响应报文

已于 2024-02-06 17:51:13 修改
阅读量1.9k 收藏 15
点赞数 2
分类专栏: 技术分享 文章标签: web 软件测试
于 2019-12-26 14:51:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kkillala/article/details/103714306
版权

简介

客户端和服务器通信发送报文进行通讯,但这些报文可以被截获修改进行一些攻击。对于web端和app都可以查看源码判断解密算法,并且大部分情况下都可以伪造响应报文,尤其是未加密和签名的报文。对于RSA加密报文可以利用之前获取成功报文,直接返回给特殊功能进行绕过攻击。例如截获新增用户成功响应的报文【可以是加密后的报文】,在验证短信界面直接截获返回成功响应的报文给验证短信界面。如果客户端未采取包顺序标记验证等措施,就会判断成功直接跳到下一级界面。

尝试抓包截获

  • 安装fiddler工具,百度下载。

  • 打开工具并设置如下
    在这里插入图片描述

  • 随便找一个网页开始发送报文到后台,正常返回界面如下
    在这里插入图片描述

  • 点击网页提交表单,会发现fiddler截获了报文,双击左边的记录如下图。
    在这里插入图片描述

  • 点击截获响应报文 上图箭头所示 break on response,并且修改响应报文如下图。
    在这里插入图片描述

  • 网页获得的报文是被篡改的报文
    在这里插入图片描述

拓展解读

HTTP传输

通过抓包软件可以发现请求头和响应头最终会按ASCII编码转换为16进制,最终转换为2进制在网络上传输。请求body会根据content-type编写的字符集编码进行转换,例如UTF-8。而GET请求tomcat默认是ISO-8859-1传输,所以中文需要encodeURL编码再进行传输,服务端Decoder解码。

APP短信绕过攻击

例如一个app有普通字典功能,可以通过抓包工具抓取成功返回的报文加入为 {succ:true}亦或是加密后的 {OFBSSDFFDDDF}。这个时候短信认证界面随意输入验证码,通过抓包工具截获,将刚刚截获成功的报文返回给app即可让应用认为验证通过。这个是利用软件所有成功返回的报文一致来进行模拟攻击。解决这个问题就必须要求响应报文具备两个条件:

1、成功报文要是动态
2、旧的成功报文不可通过校验

当然也可以后端自己做业务的时候判断用户是否真的短信验证通过,但是如果前端不能避免抓包攻击的话,很多查询接口都会暴露出来。

解决思路:

1、成功报文加时间戳,并且前端需要传递序列号到后端,后端原封不动返回。
2、前端解密后验证序列号是否与请求一致。防止历史成功报文验证通过。
3、因为前端代码和app代码都会被人破译查看,所以加密算法应该为非对称加密,这样抓包者无法模拟成功报文,只能利用历史成功报文攻击,但因为有序列号所以无法验证通过。

以上只是初步一个想法,并未实践,做一个简要记录。

stpFrog
关注
  • 2
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
抓包工具fiddler+fiddlercertmaker.7z
01-18
抓包工具fiddler fiddlercertmaker.exe https
全网最强HTTP+Fiddler抓包实战教程 干得不能再干 (超级全面图文)
热门推荐
极客小俊
05-07 1万+
居然有人干了5年开发,居然抓包都不会!👿 但是不要怕,不要哭,跟着我学一定有收获! 兴趣就是你最好的老师,有兴趣就一定要学下去 , 卷死他们!🚀
玩转这三款抓包工具,网友说:你是高手
m0_75277660的博客
05-08 1566
网页的bug调试,其出名的背后有着更“神奇”的功能,有很多网友都知道“Fiddler学的好,牢饭吃的饱”。二、科来(Colasoft Capsa),全名是科来网络分析系统,是国产抓包软件的经典之作,当年靠它搞定了很多的网络故障问题,其人性化的交互界面,适合国人习惯的数据包结构展示,图表分析,节点,协议等,特别是报表功能,可以呈现一份全过程的数据资源,不但可以协助分析,存档,最主要的是向客户演示和解说,通过PPT对比,让客户更能直观去理解。该工具的优秀和强大就不用说了,谁用谁知道!【保证100%免费】
Fiddler修改请求响应数据
了解➔熟悉➔掌握➔精通
09-10 1258
(2)在左侧列表中选择请求(拦截的请求会出现向下箭头标志),在右侧Inspector下方的TextView栏修改返回数据,然后点击【Run to Completion】,进行消息发送。(2)在左侧列表中选中请求(拦截的请求会出现向上箭头标志),点击右侧Inspectors->WebForms,可以看到请求携带的参数,此时可以修改参数值,或添加携带参数。选择【Before Requests】,表示浏览器发送请求之后,Fiddler代理中转之前,这时可以修改请求的数据。取消后就不会再拦截请求响应了。
软件设计师——信息安全知识
qwjy的博客
09-11 4227
单向散列函数(单向Hash函数)、固定长度的散列值。Hash(哈希)函数提供了这样一种计算过程:输入一个长度不固定的字符串,返回一串固定长度的字符串,又称 Hash 值。单向 Hash 函数用于产生信息摘要。Hash 函数主要可以解决以下两个问题:在某一特定的时间内,无法查找经 Hash 操作后生成特定 Hash 值的原报文;也无法查找两个经 Hash 操作后生成相同 Hash 值的不同报文。这样,在数字签名中就可以解决验证签名和用户身份验证、不可抵赖性的问题。
Fiddler的基本使用、功能:限速、篡改数据、重定向、发送自定义请求、APP抓包
qwer9478的博客
10-11 3893
Fiddler的基本使用、 1.界面基本说明 会话列表:每一次与服务器通信的请求都会获取到并显示。 请求:对服务器的请求响应:对客户端请求响应。 菜单:界面的设置。 点击会话列表中的某一条出现:Response body is encoded.Click to decode说明请求回来的需要编码,请确保“Decode”是选中的状态。这样我们可以点击Response body is encod...
Fiddler断点法和重定向法篡改响应数据
weixin_42661412的博客
04-28 1040
场景一、支付安全测试:例如测试一个999元订单支付的场景,前端发送请求将价格及商品信息上传过程中,使用Fiddler拦截请求篡改价格为0.01,之后再发送请求测试后端对于商品价格区间是否有校验,如果支付下单成功说明没有校验,程序存在支付流程上的漏洞,需要进行优化处理。选中url---点击AutoResponder---点击Add Rules---勾选编辑区域的URL-选择保存好的本地文件---点击save---勾选Enable rules。注意:要在短时间内进行修改操作,不然有可能超时。
借助FreeHttp任意篡改http报文 (使用·实现)
weixin_30906671的博客
02-25 633
引言 FreeHttp是一个Fiddler插件借助FreeHttp您可按照您自己的设定修改请求响应报文,这对测试及调试都非常有用 比如您发现线上页面js文件错误,直接使用规则替换新的js文件您可以在不对线上服务做任何改动的情况下直接在线上验证 同样在发现服务接口数据不符合预期时也可以直接修改验证,甚至可以清除手机浏览器或微信服务号的登陆状态 希望在您了解其基本功能及工作原理后,...
使用fiddler篡改接口请求或返回的内容
白骨梦儿
09-06 7624
一、背景说明 篡改接口请求或返回的内容,会有什么影响?下面这些新闻,你或许有听说过。 因此,公司投入线上运营的产品中,涉及到与金额相关的流程,需要通过接口测试篡改请求和返回内容,验证项目是否做了此类的安全校验,避免公司产生不必要的财产损失。 fiddler工具我们日常的比较多的是抓包功能,该文档主要是针对如何使用fiddler篡改接口请求和返回内容的方法做出说明。 Fiddler篡改数...
最详细,Fiddler使用教程 (定位/抓包/篡改数据) 工作中真实应用......
大佬云集技术答疑交流群:743262921(进群暗号:222)
03-26 3789
定位前后端bug当我们操作页面端发现一个bug时,对业务充分熟悉且有足够经验的测试工程师可以直接判断是否前后端bug;但无经验的不要慌,可通过fiddler抓取request、response数据,分析定位前后端bug。Fiddler怎么配置以及怎么抓取数据,前面有写,这里不再过多叙述。查看请求的http状态码是否正确。例:若抓取到的请求返回的http状态码为404,说明可能是前端JS 提交了错误的地址,也可能是后端服务器没有对应地址的服务;
抓包工具fiddler介绍.docx
05-16
Fiddler是强大的抓包工具,它的原理是以web代理服务器的形式进行工作的,使用的代理地址是:127.0.0.1,端口默认为8888,我们也可以通过设置进行修改。
抓包工具Fiddler使用分享.doc
10-16
Fiddler是一个http协议调试代理工具,它能够记录并检查所有你的电脑和互联网之间的http通讯,设置断点,查看所有的“进出”Fiddler的数据(指cookie,html,js,css等文件,这些都可以让你胡乱修改的意思)。 Fiddler ...
抓包工具Fiddler
10-01
最好用,最专业的抓包工具Fiddler软件测试人员首选测试工具
fiddler 抓包工具下载
08-31
fiddler 抓包工具下载
Apache-Flume日志收集+自定义HTTP Sink处理 测试用例搭建
青云小轩
08-29 3961
Flume简介和安装 简介   Flume前身是cloudera 开发的实时日志收集系统,后来纳入Apache旗下。作为一个日志收集系统,他能很轻易的与log4j/logback结合并传输日志。可以用来收集各个子系统的日志做统一处理和查询。   常见的搭配是Flume+kafka消息队列+mongodb/hbase等nosql数据库。这里介绍一下用Flume收集子系统logback日志的...
Debian【kali linux-2017 01】和ubuntu 17.04安装wineQQ
青云小轩
10-22 3272
Ubuntu1.在ubuntu下,安装wine是非常简单的,仅仅三条命令,wine就安装好了。sudo add-apt-repository ppa:wine/wine-builds sudo apt-get update sudo apt-get install winehq-develwine is installed 2.接下就是下载wineQQ 这里我们直接下载压缩包,解压之后就直接可
Maven 仓库私服镜像加载顺序笔记
青云小轩
04-28 2829
MAVEN 仓库加载顺序 一、如果未配置有 mirrorOf * 的镜像仓库按照下面顺序获取jar 1 、查找本地仓库 2 、查找全局repository仓库配置并且按配置文件编辑倒序查找 3 、查找项目repository仓库配置 4 、查找中央仓库,如果没有配置mirror 就默认中央仓库地址 https://repo.maven.apache.org/maven2/org/apache/ma...
ssm 自定义注解实现mybatis自动维护表结构以及利用freemarker生成代码
青云小轩
05-13 2098
在开发过程中,我们经常会遇到以下两个问题: 1、表结构的维护。使用hibernate不方便进行特殊业务语句的操作,而实际开发过程中经常需要一些特殊的操作而不能像hibernate提倡的那样对对象进行操作;使用mybatis自动创表又不能满足要求。 2、代码MVC结构的创建过程,新开发一个功能,经常要创建各种文件,如interface,impl,service等。 这里分享一个 ssm框架 利
抓包工具fiddler的使用
最新发布
09-06
嗨!关于抓包工具 Fiddler 的使用,我可以给你一些基础的指导。 首先,你需要下载并安装 Fiddler。它是一个免费的跨平台抓包工具,适用于 Windows、macOS 和 Linux 系统。 安装完成后,打开 Fiddler。默认情况下,它会自动开始捕捉网络流量。 在主界面的左侧,你会看到一个会话列表,显示了所有捕获到的请求响应。 要捕获特定应用程序的流量,你可以使用 Fiddler 的过滤功能。点击顶部的过滤选项卡,然后选择你要过滤的应用程序,比如浏览器或移动设备。 Fiddler 提供了多种查看和分析网络流量的方法。你可以点击会话列表中的任何一项来查看详细的请求响应信息。还可以使用各种工具和功能,如查看原始数据、搜索、修改请求响应、创建自定义规则等。 为了更好地理解 Fiddler 的特性和使用方法,建议你查看官方文档或在社区中寻找教程。这样可以帮助你更好地掌握 Fiddler,并提升使用效果。 希望这些信息对你有帮助!如果你有更多问题,请随时问我。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值