关于Burp、Fiddler、Charles抓包测试

文章目录

关于Burp、Fiddler、Charles抓包测试
- 一、测试目标
- 二、工具分析
- 三、操作流程
- - 1、Burp Suite抓包实战：
  - 2、Fiddler 抓包实战：
  - 3、Charles 抓包实战：

一、测试目标

URL ：https://cms.publiccms.com/admin/login.html
账号：test
密码：test
目标：使用Burp、Fiddler、Charles完成该网站的抓包测试

二、工具分析

1、Burp Suite

版本：Burp Suite2021.6
功能：Proxy可以拦截HTTP/S的代理服务器，作为一个在浏览器和目标应用程序之间的中间人，允许你拦截，查看，修改在两个方向上的原始数据流。除此之外，还可进行跨站脚本（XSS）、SQL注入、扫描Web网站、渗透测试、移动端测试deng
原理：打开BurpSuite自带的brower浏览器，利用Proxy拦截网站的POST请求的接口及数据。

2、Fiddler

版本：Fiddler2020.10
功能：Fiddler是位于客户端和服务器端的HTTP代理（proxy），是目前最常用的http抓包工具之一。
Fiddler能够记录客户端和服务器之间的所有 HTTP请求，可以针对特定的HTTP请求，分析请求数据、设置断点（breakpoint）、调试web应用、修改请求（request）的数据，甚至可以修改服务器返回的数据，功能非常强大，是web调试的利器。
原理：通过代理的方式获取程序http通讯的数据，可以用其检测网页和服务器的交互情况，能够记录所有客户端和服务器间的http请求，支持监视、设置断点、甚至修改输入输出数据

3、Charles

版本：Charles_V4.2.7
功能：是一个HTTP代理服务器,HTTP监视器,反转代理服务器，当浏览器连接Charles的代理访问互联网时，Charles可以监控浏览器发送和接收的所有数据。它允许一个开发者查看所有连接互联网的HTTP通信，这些包括request, response和HTTP headers （包含cookies与caching信息）。
原理：作为代理可以知道所有客户端发送到服务端的请求内容以及服务端返回给客户端的数据内容

三、操作流程

1、Burp Suite抓包实战：

第一步：打开burp，创建一个临时项目：

根据实际情况选择项目；
点击“下一步”；
点击“启动”；

第二步：点击代理>>打开浏览器

输入被测系统的网址；

将拦截关闭；
输入被测系统账号及密码；
将拦截开启后，点击登录；
注：登录之前，必须先开启拦截，这样才能抓到登录的包；

这是抓的登录；
注意看登录中是否包含账号及密码，如果包含，则抓包正确；
此密码被加密，实际测试中，可以写真实的密码；

右击>>选择Repeater重放器>>点击发送；
能查看响应数据；

第三步：再次打开代理>>将拦截关闭：
拦截关闭后，之前点击的登录则再次生效，跳转至被首页；

再次点击拦截开启，随机选择一个场景抓包；

右击>>选择Repeater重放器>>点击发送；
能查看响应数据；
响应数据中包含“我的内容”中的页面，抓包成功；

2、Fiddler 抓包实战：

第一步：右击移除所有会话

第二步：打开浏览器>>输入被测系统网址：

找到带有传输箭头的标志；

这是抓的登录；
注意看右边web表单，登录中是否包含账号及密码，如果包含，则抓包正确；

第三步：再次右击移除所有会话>>打开浏览器>>点击该系统中“我的内容-搜索”；

找到带有传输箭头的标志；
这是抓的随意一个场景；
web视图中包含“我的内容”中的页面，抓包成功；

3、Charles 抓包实战：

第一步：点击代理>>选择SSL代理>>添加被测系统网址；

注：https需要设置代理；http则无需代理；

第二步：打开浏览器>>输入被测系统网址；

显示红色按钮，则录制开始；
显示灰色按钮，则录制停止；
找到带有传输标志的箭头；
这是抓的登录，注意看右边内容，登录中是否包含账号及密码，如果包含，则抓包正确；

第三步：点击扫把标志清除所有数据>>再次打开浏览器>>点击该系统中“我的内容”；

找到带有传输箭头的标志；
这是抓的随意一个场景；
内容中包含“我的内容”中的页面，抓包成功；

总的来说，burp综合实力最强嘻嘻；Fiddler有些会限制代理，会导致https网址抓取失败，网站直接无法跳转，Charles则代理设置的相对不灵活。

分割线~~~

【测试】抓包技术哪家强？关于Burp、Fiddler、Charles三个工具的抓包测试相关推荐

Http Ajax技术哪家强？Axios、Superagent、Request、Fetch、Supertest技能大比拼！
Http Ajax技术哪家强?Axios.Superagent.Request.Fetch.Supertest技能大比拼! 现在,当您了解所有最著名的 JavaScript 框架时,是时候介绍 202 ...
百度：AI技术哪家强，度厂科大最在行？
大厂新闻天天有,"找工作" 深度体验日记独此一份秋招过半,offer拿到手软?那么百度的人工智能有多魔幻?京东的亦庄革命区到底有多远?头条福利是不是真的好到"人神共愤& ...
毕业季.公司 | 百度：AI技术哪家强，度厂科大最在行？
全文共3344字,预计学习时长9分钟大厂新闻天天有,"找工作" 深度体验日记独此一份秋招过半,offer拿到手软?那么百度的人工智能有多魔幻?京东的亦庄革命区到底有多远?头条福 ...
计算机网络技术表白,表白技术哪家强？看我武信各专业花式表白
原标题:表白技术哪家强?看我武信各专业花式表白马上就到"5.20"表白日了不同专业学科的人在表白这件事上脑回路都不相同快来看看我们武信各大专业的花式表白总有一款适合你表白 ...
APP在线制作平台，终极技术哪家强？
APP在线制作平台,终极技术哪家强? 你是否曾经觉得,市面上所有的APP都不能完全满足你的要求?你是否曾有很好的点子,却苦于缺乏技术而无法实现进一步的发展?你是否曾经费劲千辛万苦,做出的APP却无 ...
Fiddler及浏览器开发者工具进行弱网测试
------·今天距2021年265天·------ 这是ITester软件测试小栈第110次推文在上一篇Fiddler系列文章:Fiddler跨域调试及Django跨域处理,主要介绍了跨域原理.F ...
活体检测技术哪家强？实测N种场景告诉你答案
首先,什么是活体检测技术? 活体检测是在一些身份验证场景确定对象真实生理特征的方法,在人脸识别应用中,活体检测能通过眨眼.张嘴.摇头.点头等组合动作(配合式),使用人脸关键点定位和人脸追踪等技术,验证 ...
PAT-Day1-挖掘机技术哪家强
题目为了用事实说明挖掘机技术到底哪家强,PAT 组织了一场挖掘机技能大赛.现请你根据比赛结果统计出技术最强的那个学校.输入格式: 输入在第 1 行给出不超过 10的5次方的正整数 N,即参赛人数. ...
“星光级”大势已成 “星光”技术哪家强？
论2016年主流技术有哪些?星光级算一个热门.星光级摄像机作为近两年安防监控市场上的主流产品,受到广大工程商的喜爱.那么,究竟什么是星光级摄像机,它有哪些优势?众多"星光级"产品中 ...

【测试】抓包技术哪家强？关于Burp、Fiddler、Charles三个工具的抓包测试