使用fiddler
關於android 獲取請求地址的詳細例子請參考android學習手冊,android學習手冊包含9個章節,108個例子,源碼文檔隨便看,例子都是可交互,可運行, ?源碼采用android studio目錄結構,高亮顯示代碼,文檔都采用文檔結構圖顯示,可以快速定位。360手機助手中下載,圖標上有貝殼
Fiddler是類似代理服務器的形式工作,它能夠記錄所有妳的電腦和互聯網之間的/get-fiddler
b.安裝:省略(下壹步...下壹步即可)
3).Fiddler配置?
a.允許遠程計算機連接Fiddler
菜單:Tools-> Fiddler Options->Connections,勾選"Allow remote computers to connect"?
註:8888為默認端口號,可修改,但需註意兩點,壹是本機空閑端口,二是手機代理設置時端口要壹致。
b.配置可捕獲HTTPS請求(*不需要捕獲HTTPS,則忽略此步*)?
菜單:Tools-> Fiddler Options->Connections,勾選"Capture HTTPS CONNECTs"後
再勾選"Decrypt HTTPS traffic"、"Ignore server certificate errors"
註1:勾選項英文不認識,請Google,不另做解釋
4).手機安裝HTTPS證書(*不需要捕獲HTTPS,則忽略此步*)?
a.首先確定Fiddler所在電腦的IP地址:例:192.168.8.8?
b.打開被測手機瀏覽器,訪問http://192.168.8.8:8888,點"FiddlerRoot certificate" 然後安裝證書
註:Iphone、Ipad安裝則很簡單,點擊安裝即可。Android安裝稍微麻煩點,則需要先設置手機鎖屏密碼、PIN碼,安裝證書時會提示,按步驟走即可。?
4、實例
ThinkDrive抓包實例
壹期測試時,涉汲到APP安全測試,因此需要查看傳輸數據是否存在明文密碼等。
1).開啟Fiddler,確定本機IP、Fiddler端口號
本機IP:192.168.8.8
Fiddler端口號:8888
2).手機連接本機所在同網絡Wifi,設置代理
a.代理主機名:Fiddler所在電腦IP
b.代理服務器端口: Fiddler使用的端口
3).APP操作,生成請求數據
a.例:登錄?
b.例:退出登錄
4).分析Fiddler抓包數據
a.例:登錄請求分析
1).雙擊查看登錄請求,選擇WebForms或JSON等其他類標簽,查看請求參數值,對照接口文檔及妳想要測試的點分析,請求是否正確,查看返回數據是否正確。
2).同帳號,不同密碼;不同帳號,同密碼等測試用例,測試多次登錄後發現,密碼僅為MD5加密,沒有對密碼進行很好的加密傳輸?
3).分析存在以下問題:
問題1:帳號密碼采用http傳輸,帳號與密碼(MD5值)局域網可以捕獲;?
問題2:密碼雖采用MD5加密,但傳輸未加密,簡單密碼可以在線解密(圖中密碼在線解密不到1秒:123qwe);
問題3:密碼不解密也壹樣可以登錄,通過A帳號在app登錄,再用sniffer得到的B 帳號與密碼(MD5值),使用Fiddler修改A帳號的請求完成B帳號在APP登錄。?
註1:Fiddler功能使用,請Google或百度,此處不詳說
註2:以上實例僅為參考,具體測試,以所相關業務及測試目標為導向進行測試分析。?
5、其他
本文雖主要對Android手機抓包舉例,但其目的是說明,不管是電腦,還是手機,還是其他上網終端,都可以通過代理的方式來抓包(HTTS、HTTPS)