关键词:
朋友让帮忙投票,想着随手一测,没想到真有洞还
web端点击就提示下载手机app,不知道他是咋检测的,就下了某日报app
既然是app,首先使用 fiddler 抓取手机流量,用电脑模拟器或者手机设置代理,将流量转发至电脑
具体步骤
首先需要保证手机和电脑在同一个WiFi下,如果是模拟器那没事了,但是设置方法一样,以手机为例
-
在fiddler中启动代理,tools-options
选择connections,设置代理端口,我用的9999
-
手机设置中设置代理,
服务器主机名填写电脑ip
端口就是fiddler中设置的端口
然后在fiddler中就可以抓到app的流量了
就下来就是抓包分析流量,在投票的包中发现sql注入漏洞,本来想测逻辑的
POST /index.php?c=vote&do=pc&p=111100&group=0&id=60 HTTP/1.1
Host: vote2.****.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0
Content-Length: 104
Accept: application/json
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
Cache-Control: no-cache
Content-Type: application/x-www-form-urlencoded
Cookie: *****
Origin: http://vote2.****.com
Pragma: no-cache
Referer: ****
X-Requested-With: XMLHttpRequest
Accept-Encoding: gzip
u=3614
这个参数u就存在sql注入,使用sqlmap可以成功注入
在cookie和referer中有一些参数没有猜出是啥
接口测试之用fiddler对手机app进行抓包
Fiddler是一款非常流行并且实用的http抓包工具,它的原理是在本机开启了一个http的代理服务器,然后它会转发所有的http请求和响应,因此,它比一般的firebug或者是chrome自带的抓包工具要好用的多。不仅如此,... 查看详情
fiddler手机抓包有啥用
参考技术Afiddler手机抓包有什么用:cr173.37625_1.上面为Fiddler对安卓应用手机抓包图文教程fiddlerapp抓包有什么用在做手机或移动端APP的介面测试时,需要从开发人员那里获取介面文件,介面文件应该包括完整的功能介面、介面请求... 查看详情
app渗透抓包
...包。2.安装安卓模拟器+抓包2.1.安装模拟器 这里我使用的是最新版的夜神模拟器,官网可以直接下载,而雷神模拟器可能会存在无法抓包的情况,至于其它的模拟器可以自行尝试安装测试,不过还是建议使... 查看详情
fiddler无法与手机连接是啥原因?
首先要确保手机和安装有Fiddler的计算机处在同一个局域网中,可以使用路由器,或者使用笔记本发送热点给手机使用。在这里本人是使用手机USB共享功能让笔记本联网的。进入cmd输入ipconfig/all。查看IPv4地址,下面设置代理需要... 查看详情
fiddler无法与手机连接是啥原因
首先要确保手机和安装有Fiddler的计算机处在同一个局域网中,可以使用路由器,或者使用笔记本发送热点给手机使用。在这里本人是使用手机USB共享功能让笔记本联网的。进入cmd输入ipconfig/all。查看IPv4地址,如下图。下面设置... 查看详情
python接口测试实战1(下)-接口测试工具的使用
...具简介Chrome/Firefox开发者工具:浏览器内置,方便易用Fiddler/Charles:基于代理的抓包,功能强大,可以手机抓包,模拟弱网,拦截请求,定制响应Fiddler:免费,只支持WinCharles:收费,支持 查看详情
python接口测试实战1(下)-接口测试工具的使用
...具简介Chrome/Firefox开发者工具:浏览器内置,方便易用Fiddler/Charles:基于代理的抓包,功能强大,可以手机抓包,模拟弱网,拦截请求,定制响应Fiddler:免费,只支持WinCharles:收费,支持 查看详情
测试必备-抓包工具的使用
...如何快速的定位bug呢,那需要抓APP的请求就知道了。一、Fiddler1、下载和安装下载地址:官网2、Fiddler设置启动Fiddler,打开Tools->Options,会弹出一个框框。在Options对话框中,将下列内容设置好8888端口在手机设置代理时 查看详情
使用jmeter开发app端接口自动化案例实战
开发思路1、开发app端接口自动化案例,首先需要使用Fiddler抓包;2、目前接触到的app端都是https协议,所以需要开启Fiddler的https协议3、抓包完成之后,使用jmeter模拟请求,调试成功,案例开发完成;4、本次抓取的app安装的操作... 查看详情
全网最全fiddler使用教程和fiddler如何抓包(fiddler手机抓包)-笔者亲测
...员二黑,免费领取文章目录一、前言二、HTTP协议三、Fiddler简介和工作原理四、Fiddler六大块详解五、Fi 查看详情
fiddler抓包后怎么分析
...些教程全是一些只教如何安装配置,没有实战 参考技术BFiddler绝对称得上是"抓包神器",Fiddler不但能截获各种浏览器发出的HTTP请求,也可以截获各种智能手机发出的HTTP/HTTPS请求。Fiddler能捕获ISO设备发出的请求,比如IPhone,... 查看详情
fiddler抓包使用教程-扫盲篇
转载请标明出处:http://blog.csdn.net/zhaoyanjun6/article/details/72823370本文出自【赵彦军的博客】1、什么是抓包?不同主机之间的数据通信都是通过网络来进行传输,对那些在网络上传输的数据(发送、请求的数据)进行截获、编辑、... 查看详情
如何通过使用fiddler对android系统设备抓包总结
1.通过fiddler抓包真机好处是安卓手机不用root,简单设置代理,并可以在电脑端检测抓包数据。只能抓获wifi,不同抓包3g/2g运营商的数据2.通过tcpudmp工具抓包可以检测真机,也可以模拟器。可以wifi,也可以3g/2g必须root,可以安装... 查看详情
fiddler之手机app爬取
配置fiddler抓包手机 fiddler抓包过程以及fiddler抓包手机添加代理后连不上网解决办法 查看详情
实操!使用fiddler在android手机上对https请求抓包!
...认端口号8888,勾选Allowremotecomputerstoconnect,点击ok:至此,Fiddler配置完成,关闭Fillder重新打开即可。手机网络配置:打开当前手机wifi,当前连接wifi要与使用电脑端在同一局域网,进入当前wifi配置界面,代理那一栏选手动,主机名... 查看详情
fiddler抓包实战(代码片段)
Fiddler抓包Fiddler是一个蛮好用的抓包工具,可以将网络传输发送与接受的数据包进行截获、重发、编辑、转存等操作,也能用于安卓抓包。Fiddler有多种版本,我用的是ProgressTelerikFiddlerWebDebugger,为了能抓手机的包&... 查看详情
fiddler+夜神模拟器对安卓app进行抓包(代码片段)
Fiddler+夜神模拟器对安卓app进行抓包 在浏览器中查看网络请求,我们可以直接F12在Network中获取,但是要查看手机端app的网络请求就没有那么简单了。这里使用Fiddler抓包工具,抓取夜神模拟器中app的网络请求。... 查看详情
全网最详细,fiddler抓包实战-网页浏览器https请求(超详细)
...八、JMeter性能测试九、总结(尾部小惊喜)前言Fiddler抓取网页浏览器请求Fiddler代理浏览器设置(Chrome/IE/Firefox)注意浏览器代理区别Chrome/IE浏览器使用的都是系统代理设置在chrome浏览器的设置中搜索代理,可... 查看详情