Android抓包方法(一)
之Fiddler代理
前言:
做前端測試,基本要求會抓包,會分析請求數據包,查看接口是否調用正確,數據返回是否正確,問題產生是定位根本原因等。不管是之前做HTML5手機項目測試,還是現在的企郵app測試,經常需要抓包,做前端開發基本第一時間會想到Fiddler,的確Fiddler比較強大方便,本文主要以Android手機為例介紹通過Fiddler抓手機數據包,Iphone、Ipad、Win Phone等可設代理的手機,也均可用此方法。
轉載請注明出處
作者:Findyou
地址:http://www.cnblogs.com/findyou/p/3491014.html
[目錄]
1、抓包原理
2、方法優劣
3、准備工作
1).檢查電腦網絡連接
a.使用同網絡內的另一台電腦)ing本機,檢查是否連通正常。
原因:我之前測HTML5項目就發現Fiddler代理抓不到包,手機設置均正確,后發現是網絡內找不到本機,本機防火牆設置問題。
另外需要關注是否同一網絡,如果手機GPRS等上網,你在局域網內抓包...哥覺得你可以改行了...
(約定:后文所述Fiddler所在電腦均稱為本機)
2).Fiddler安裝
a.下載地址: http://fiddler2.com/get-fiddler
b.安裝:省略(下一步...下一步即可)
3).Fiddler配置
a.允許遠程計算機連接Fiddler
菜單:Tools-> Fiddler Options->Connections,勾選"Allow remote computers to connect"
注:8888為默認端口號,可修改,但需注意兩點,一是本機空閑端口,二是手機代理設置時端口要一致。
b.配置可捕獲HTTPS請求(*不需要捕獲HTTPS,則忽略此步*)
菜單:Tools-> Fiddler Options->Connections,勾選"Capture HTTPS CONNECTs"后
再勾選"Decrypt HTTPS traffic"、"Ignore server certificate errors"
注1:勾選項英文不認識,請Google,不另做解釋
4).手機安裝HTTPS證書(*不需要捕獲HTTPS,則忽略此步*)
a.首先確定Fiddler所在電腦的IP地址:例:192.168.8.8
b.打開被測手機瀏覽器,訪問http://192.168.8.8:8888,點"FiddlerRoot certificate" 然后安裝證書
注:Iphone、Ipad安裝則很簡單,點擊安裝即可。Android安裝稍微麻煩點,則需要先設置手機鎖屏密碼、PIN碼,安裝證書時會提示,按步驟走即可。
4、實例
ThinkDrive抓包實例
一期測試時,涉汲到APP安全測試,因此需要查看傳輸數據是否存在明文密碼等。
1).開啟Fiddler,確定本機IP、Fiddler端口號
本機IP:192.168.8.8
Fiddler端口號:8888
2).手機連接本機所在同網絡Wifi,設置代理
a.代理主機名:Fiddler所在電腦IP
b.代理服務器端口: Fiddler使用的端口
3).APP操作,生成請求數據
a.例:登錄
b.例:退出登錄
4).分析Fiddler抓包數據
a.例:登錄請求分析
1).雙擊查看登錄請求,選擇WebForms或JSON等其他類標簽,查看請求參數值,對照接口文檔及你想要測試的點分析,請求是否正確,查看返回數據是否正確。
2).同帳號,不同密碼;不同帳號,同密碼等測試用例,測試多次登錄后發現,密碼僅為MD5加密,沒有對密碼進行很好的加密傳輸
3).分析存在以下問題:
問題1:帳號密碼采用http傳輸,帳號與密碼(MD5值)局域網可以捕獲;
問題2:密碼雖采用MD5加密,但傳輸未加密,簡單密碼可以在線解密(圖中密碼在線解密不到1秒:123qwe);問題3:密碼不解密也一樣可以登錄,通過A帳號在app登錄,再用sniffer得到的B 帳號與密碼(MD5值),使用Fiddler修改A帳號的請求完成B帳號在APP登錄。
注1:Fiddler功能使用,請Google或百度,此處不詳說
注2:以上實例僅為參考,具體測試,以所相關業務及測試目標為導向進行測試分析。
5、其他
本文雖主要對Android手機抓包舉例,但其目的是說明,不管是電腦,還是手機,還是其他上網終端,都可以通過代理的方式來抓包(HTTS、HTTPS)。
轉載請注明出處:Findyou