利用java代码和web拦截器轻松实现一个app抓包工具

最新推荐文章于 2023-10-17 12:15:00 发布
最新推荐文章于 2023-10-17 12:15:00 发布
阅读量935 收藏 7
点赞数 3
文章标签: java 开发工具 后端
原文链接:https://yq.aliyun.com/articles/304757
版权

    目前app测试时我们需要对接口数据进行抓包,对于app的抓包,我们可以使用很多现成的工具,比如fiddler、wireshark、charles等,基本上可以满足要求,但是对于一些定制化的需求,比如说:我们需要将抓包的数据进行篡改后再发送到服务器,或者对请求的数据新增标志字段以便定位问题,或者更多需要更改数据的需求,传统抓包工具已经很难实现,需要我们探索新的方式方法。

    我们知道,一般的抓包工具都是使用代理的方式来截取请求,然后以ui的方式展现出来,我们本次也直接使用这种代理的方式来实现抓包,然后对抓取的包进行数据的重组和处理后再发送到原本请求的服务器获取结果返回给app即可。整个流程如下(此流程仅适用于http、https协议):



说明:代理服务器抓取到app到服务器之间的包,进行解包之后,对数据进行处理(更改或者新增)后再次进行数据封包,将封包后的数据发送到原服务器之后将数据返回给app即可,这期间我们在解包之后可以看到数据的具体信息。

   整个系统最核心的内容无疑为代理服务器,甚至有些人对数据的解包和封包和再次发送感觉实现起来很难。如果app的请求为http协议,其实我们可以使用现成的工具,最直接的就是将代理服务器伪装成一个web服务器,app发送给web服务器的数据可以直接被web服务器解包,之后可以使用httpclient再次模拟客户端做封包操作发送给app:

数据拦截:web拦截器

数据解包:servlet(request)

数据处理:自助java类

数据再封包和发送:httpclient

数据的接收:httpclient

数据返回app:servlet(response)


整个流程变为:


下面我们从代码层面来说明整个过程:

1.搭建一个web的服务器环境

2.写一个拦截器



3.代理服务器代码

packagecom.pingan.testcloud.units;

/**

* ClassName:LoginFilter

*

* @Description:过滤器,白名单里所有接口都要先经过此过滤器,白名单请在web.xml中设置

* @author dingjingjing058

* @date 2016年5月13日

*/

importjava.io.IOException;

importjava.io.PrintWriter;

importjava.net.URLDecoder;

importjava.net.URLEncoder;

importjava.util.ArrayList;

importjava.util.Enumeration;

importjava.util.HashMap;

importjava.util.List;

importjava.util.Map;

importjavax.servlet.Filter;

importjavax.servlet.FilterChain;

importjavax.servlet.FilterConfig;

importjavax.servlet.ServletException;

importjavax.servlet.ServletRequest;

importjavax.servlet.ServletResponse;

importjavax.servlet.http.HttpServletRequest;

importjavax.servlet.http.HttpServletResponse;

importjavax.servlet.http.HttpSession;

importorg.slf4j.Logger;

importorg.slf4j.LoggerFactory;

importcom.pingan.testcloud.httphelper.BasicParameter;

import com.pingan.testcloud.httphelper.HttpClientHelper;

importcom.pingan.testcloud.httphelper.ResponseParameter;

public classLoginFilter implements Filter {

publicLogger logger = LoggerFactory.getLogger(this.getClass());

@Override

public void destroy() {

// TODO Auto-generated method stub

}

@SuppressWarnings("rawtypes")

@Override

public void doFilter(ServletRequest req,ServletResponse res, FilterChain chain)

throws IOException,ServletException {

HttpServletRequest request =(HttpServletRequest) req;

HttpServletResponse response =(HttpServletResponse) res;

request.setCharacterEncoding("UTF-8");

//获得用户请求的URI,并进行截取

String url= request.getRequestURI();

String[] path =url.split("/");

// System.out.println(path);

Enumerationenu=request.getParameterNames();

String paraString="";

while(enu.hasMoreElements()){

StringparaName=(String)enu.nextElement();

paraString=paraString+paraName+":"+request.getParameter(paraName)+"";

}

logger.info("用户请求地址为:"+url+"请求参数为:"+paraString);

if(ConfigReader.getWhiteListMap().get(path[path.length-1])==null){//如果不在白名单,则进行如下校验

String method=request.getMethod();

if(method.equals("POST"))

method="post";

elseif(method.equals("GET"))

method="get";

BasicParameter bp1 = newBasicParameter(url,"get","FILTER");

enu=request.getParameterNames();

while(enu.hasMoreElements()){

String paraName=(String)enu.nextElement();

bp1.addParamters(paraName,request.getParameter(paraName));

Enumerationen=request.getHeaderNames();

Map headers=newHashMap();

while(en.hasMoreElements()){

//取出信息名

String name=(String)en.nextElement();

//取出信息值

String value=request.getHeader(name);

headers.put(name, value);

}

bp1.setHeaders(headers);

}

List rps= new ArrayList();

try {

HttpClientHelper client=newHttpClientHelper(request.getServerName(),request.getServerPort(),"http");

client.addHttpRequest(bp1);

rps=client.run();

} catch (Exception e1) {

// TODO Auto-generatedcatch block

e1.printStackTrace();

}

for(Map.Entryen:rps.get(0).getHeaders().entrySet())

{

response.addHeader(en.getKey(),en.getValue());

}

response.setContentType("text/html");

response.setCharacterEncoding("UTF-8");

PrintWriter out =response.getWriter();

out.print(rps.get(0).getRespdata());

out.flush();

out.close();

//response.sendRedirect("./login.html");

//chain.doFilter(request,response);

//已经登陆,继续此次请求

}

else

{

//在白名单里,继续此次请求

chain.doFilter(request,response);

}

}

@Override

public void init(FilterConfig config)throws ServletException {

}

}


注意:

1.代码中使用了httpclient,具体代码封装请参加技术文档。

2.对于解包后的数据操作未做详细讲解,可以参考sevlet技术文档。


最后,对手机设置网络代理,代理指向web服务器的ip和端口,试试效果吧。

weixin_34067049
关注
100天精通Andriod逆向——第4天:各种抓包工具学习
Amo Xiang的博客
08-10 5493
在网页中,我们可以借助浏览器开发者工具中的 Network 面板看到网页中产生的所有网络请求和响应内容,然而 App 怎么办呢?要想拦截 App 中的网络请求,就得用到抓包工具了,例如:Charles、Fiddler、mitmproxy 等,我们可以通过这些工具拦截 App 和 API 通信的请求内容和响应内容,如果能从中找到一定的规律,就可以用程序直接构造请求来模拟 API 的请求,从而完成数据爬取......
Fiddler 抓包工具总结
墨鱼菜鸡
07-11 1116
From:https://www.cnblogs.com/yyhh/p/5140852.html 官方文档:https://www.telerik.com/support/fiddler Fiddler 调式使用 (一) --- 深入研究:https://www.cnblogs.com/tugenhua0707/p/4637771.html Fid...
java APP抓包工具
08-23
java,开发IOS和安卓APP时,可以使用该抓包工具,获取后台接口的入参和出参
Java抓包程序实现(附说明文档)
04-27
压缩包内包含了Java抓包用到到两个重要的软件,winpcap和jpcap,可以直接安装使用,本人亲测,windows 7环境下完美运行,JDK用的是1.7,需要配置下jpcap.dll到JDK的bin目录下。 另外还包含了一个Java程序(参考了网上的代码),Eclipse项目,已导入相关类库,可以直接导入Eclipse运行。包括两个主函数,不带界面的com.neu.jpcap.test.Main和带UI的com.ui.test.JFrameMain,均可以直接运行。
java实现网络抓包
01-07
java实现对网络包的抓取,对数据包的分析,然后对http数据包进行重组还原成网页。
基于java实现的可以直接运行的抓包工具,根据域名抓包。超过设置包数量自动启停网络
12-29
根据域名去抓取相应的tcp数据包,统计抓到的该域名包数量,可以通过period.txt配置包数量阀值,抓到的包数量超过配置数,就停止网络访问。启动网络时间也可配置。
java.网络抓包工具使用
weixin_34087503的博客
01-09 246
使用工具:jnetpcap、winpcap 工具下载: ...
红队专题-抓包工具-Burpsuite-fiddler-Wireshark
aming小老弟
12-13 4509
如果Java可运行环境配置正确的话,当你双击burpSuite.jar即可启动软件,这时,Burp Suite自己会自动分配最大的可用内存,具体实际分配了多少内存,默认一般为64M。当我们在渗透测试过程,如果有成千上万个请求通过Burp Suite,这时就可能会导致Burp Suite因内存不足而崩溃,从而会丢失渗透测试过程中的相关数据,这是我们不希望看到的。捕获的数据包括有效载荷值和位置,HTTP状态代码,响应计时器,cookie,重定向数以及任何已配置的grep或数据提取设置的结果。
【移动开发】数据抓包与防抓包
HardworkingBee的专栏
12-30 5605
一:抓取数据包 1.Window采用Fiddler软件进行抓包 简介:Fiddler是一款由C#语言开发的免费http调试代理软件。Fiddler能够记录所有的你电脑和互联网之间的http通讯,Fiddler 可以也可以让你检查所有的http通讯,设置断点,以及Fiddle 所有的“进出”的数据。 具体操作参考百度经验:如何利用Fiddler对Android应用进行抓包 Fiddler下载
java网络抓包
01-03
基于java的网络抓包程序,使用java编写,可以直接使用
java抓包工具
06-25
毕业设计,抓包工具的设计与实现. 使用java调用jpcap编写。
JAVA网络抓包程序Java源码
07-25
JAVA网络抓包程序Java源码
Java实现对IP/TCP协议数据包的拦截和分析
12-19
Java实现对IP/TCP协议数据包的拦截和分析,得出IP的详细信息。
抓包工具(支持APP
12-15
抓包支持APP
Java抓取https网页数据
11-18
Java抓取https网页数据,解决peer not authenticated异常。导入eclipse就能运行,带有所用的jar包(commons-httpclient-3.1.jar,commons-logging.jar,httpclient-4.2.5.jar,httpcore-4.2.4.jar)
java实现http/https抓包拦截
热门推荐
水中加点糖
11-11 1万+
最近在调试一个项目时常常需要对接口进行抓包查看,接口位于微信的公众号内,目前每次调试时都是用的 fiddler进行抓包查看的。但每次打开fiddler去查看对应的接口并找到对应的参数感觉还是有点复杂,正好今天是周末,打算自己来研究下它的原理并自己通过java来写一个(之所以知道java可以实现这个功能是因为著名的web安全检测工具 burpsuite就是用java写的) 分析 在使用f...
Java高效开发-fiddler抓包工具
yangshenggu的博客
12-30 748
1.简介 Fiddler是最常用的抓包工具之一,只要打开之后就能够实现数据包抓取,关闭之后会自动取消代理,非常方便本地调试 2.下载 阿里云盘地址:https://www.aliyundrive.com/s/9bBZXqavfft 3.使用 1.http请求抓取 fiddler打开之后就能自动抓取http请求,在那可以看到请求头和响应头的信息 右边 --------------------------------------------------- Result 状态码 Protocol 协
【黑客入门】Java实现类似Fiddler那样的抓包工具,对http进行拦截抓包,并篡改返回来的数据!!!...
qq_18244417的博客
10-15 3321
最近在调试一个项目时常常需要对接口进行抓包查看,接口位于微信的公众号内,目前每次调试时都是用的 fiddler 进行抓包查看的。但每次打开 fiddler 去查看对应的接口并找到对应的参...
Java开发者的必备技能:抓包工具排查问题
最新发布
Java程序员廖志伟
10-17 896
抓包工具又称为网络协议分析器,可以用来捕获在网络中传输的数据包,从而分析网络中的问题。常见的抓包工具有Wireshark、tcpdump、Fiddler、Charles等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值