接口测试（三）使用fiddler进行接口安全测试

一、fiddler简单介绍
fiddler是web调试工具，可以记录客户端和服务器之间发送的http和https请求、允许监视，设置断点，还可以修改输入输出数据
二、fiddler原理-运行机制
监听8888端口的http代理
fiddler相当于一个代理服务器，开启fiddler后自动设置代理，当客服端向服务器发送请求时，fiddler可以截获到请求信息，fiddler可以代替客户端向服务器发送请求，同时，服务器接收到请求后进行处理，将信息返回客户端，fiddler截获响应信息，代替服务器向客户端发送响应信息。
三、fiddler的安装
1.安装NDP451
2.安装fiddler4
3.安装fiddlersyntax
四、fiddler捕获请求
1.使用真实的ip或域名
2.fiddler的response出现乱码，原因四html被压缩了，可以通过点击“response body is encouded.click to decode"进行解压缩，还可以点击工具栏中的decode
3.fiddler监听https的操作
1）tool-fiddler option-https 设置勾选“decrypt https traffic"
2）如果不监听服务器端的证书可以勾选"ignore server certification errors“
五、使用fiddler实现接口安全测试
1.抓取登录成功后的界面，获取cookie ，和登录后的url,将fiddler退出，再重新打开，点击composer,输入登录成功后的URL，在下面的输入框中输入cookie，点击execute ,查看响应结果，是否登录成功，如果登录成功那么就存在安全隐患
2.将登录参数名设置为错误的进行发送请求，查看是否登录成功
六、伪造数据
1.设置断点修改request，使用此方法进行篡改数据
例如篡改价格，将请求价格修改为负数重新回放，验证是否请求成功
步骤，先在fiddler点击截获请求图标，然后在系统中发送请求，回到fiddler中进行篡改数据，然后点击“break on response"设置断点，然后再点“run to completion",然后取消抓包，再次回到系统中，发现iddler已经模拟客户端发送请求
支付漏洞与解决方案
1、在支付中直接发送含有需支付金额的数据包
解决：让开发不要在数据包中加入价格和数量等敏感信息
2、没有对购买数量进行限制
解决：严格控制购买数量的大小，不允许数量为负数，控制总支付金额的数量
3、程序的异常处理
指支付的数据包异常的程序的错误处理
这种异常可以是数据与key不符合，支付金额有错误，购买数量不正确
程序的异常处理出现的原因主要是开发人员对出现异常后处理不当造成的