4月份,看到淘寶上的搶單鏈接,專門搶拍品優惠券,比如讀書日的當當網打完折后滿200-100的券,一共有100張,但是普通用戶單獨存粹地在頁面點,壓根兒搶不到;
基於此,開始想抓包分析,
初步猜測是:一個帶有商品的http請求直接生成一個訂單號,
請求要能正確,必須帶有個人登錄標識,token之類信息;
必須帶有商品信息,商品編碼;
帶着這樣的想法,有空的時候嘗試了很多抓包工具;
Badboy以前就用過,支持windows上對PC web頁面抓包還不錯;但后來電腦升級到win10,總是失敗了,彈出的alert框始終不能清除掉,腳本也沒有辦法保存了
BlazeMeter: 帶有firefox和Chrome的插件,要開代理用;不是太好用,不能對所有頁面抓包
Jmeter錄制: 對http/https都能夠抓包,對手機app,微信小程序也能抓包;PS 有一些框架TSL貌似就不支持珠寶,比如對微信聊天信息抓包,都是亂的; jmeter生成的證書7天有效,之后需要重新生成,ssl重新同意一下
Charles 由於MAC安裝Fidder不方便,就安裝了Charles,自己也沒有去尋找破解版,Charles試用版會在每30分鍾后重啟,幾分鍾出個頁面delay一下,我覺得完全不影響使用。用久了覺得這個還不錯,Charles抓手機APP只要在手機上安裝charles證書即可。而且Charles能將請求分類。
Fidder
BurpSuite 下載來試用版,試用過。印象不深。
WireShark 貌似一種免費版不能抓請求,專業版收費才能看到具體http/https請求。
個人覺得Jmeter比較容易上手,而且會將各種請求頭都以http header manager保存下來,可以看到請求的順序,和返回。
Charles也很好用,可以在breakpoint模式下直接在抓包的過程中篡改數據。
而且這兩款支持windows,mac
簡單的東西上手,容易成功,容易獲得成就感。
興趣是最好的老師。