今天Kitty主要與大家分享Fiddler抓包工具與協(xié)議捕獲編輯工具來與大家講解Session欺騙原理過程，咱們主要通過Fiddller協(xié)議捕獲工具來對比HTTPWatch兩款工具之間的差別，最主要的是我們可以通過捕獲到的請求進行二次編輯重新發(fā)送給服務(wù)器，這中間我們做了一個請求的截獲，這樣就能夠通過人工的方式改變捕獲的接口請求本身，通過前端的界面拼裝好默認的標準，按照自己的想法來組裝請求，這樣就能夠發(fā)現(xiàn)客戶端的一些潛在的問題。

當(dāng)然,我們也可以通過請求的編輯，編輯sessionID或者cookie信息發(fā)送給服務(wù)器，甚至可以達到繞開瀏覽器界面的驗證，從而達到欺騙服務(wù)器的目的。

咱們今天主要通過Fiddler工具來進行講解，Fiddler這個工具可以搞定，大家也可以使用其它的編程語言開發(fā)一個能夠發(fā)送HTTP請求的代碼，同樣我們也可以達到與服務(wù)器進行交互的目的，客戶端要發(fā)送什么請求都可以自己來定義，這樣我用編程語言來搞定，然后通過加入可選的不同的數(shù)據(jù)輸入，這樣就能夠達到自動化測試的目的，并且通過代碼自動化來獲取我特征庫里面的值，這個實現(xiàn)原理就是我們現(xiàn)在很多安全性測試掃描工具的實現(xiàn)的基本原理。

就是將數(shù)據(jù)包組裝好發(fā)送給服務(wù)器，來分析服務(wù)器的響應(yīng)，根據(jù)服務(wù)器的響應(yīng)的內(nèi)容來提取一些有含量的值來判斷，這個服務(wù)器是否存在安全性漏洞，安全性掃描工具都是基于這個原理來實現(xiàn)的，至于拼裝什么樣的數(shù)據(jù)包，取決于工具本身特征庫的認定。

通過這些工具主要幫助大家鞏固之前所學(xué)的知識，另外我們需要進入更深層面技術(shù)方面的學(xué)習(xí)，我們不能一直停留在簡單層次的學(xué)習(xí)，這樣提升起來會比較慢，我們需要逐漸深入底層逐漸的進入到更深的技術(shù)層面。

Fiddler的安裝過程自己網(wǎng)上自行下載安裝即可，在本次課程就不詳細講解，安裝過程一路下一步完成即可，安裝完成之后大家注意不同的Fiddler版本需要安裝Fiddler的證書，為什么要安裝證書呢？因為我們平時測試的項目不僅是針對于HTTP協(xié)議來抓包分析，還有HTTPS協(xié)議的相關(guān)包也就是HTTP協(xié)議的加密過程，需要安裝秘鑰才能正常抓取HTTPS的包。

安裝完成之后就可以直接打開Fiddler進行抓包，在File上勾選Capture Traffic,因為只有勾選這個才能監(jiān)控瀏覽器的數(shù)據(jù)包，然后大家可以打開任意一個瀏覽器進行抓包，Fiddler就能監(jiān)控到請求。

接下來將捕獲用戶的請求，對請求進行編輯并發(fā)布，修改請求的參數(shù)并選擇執(zhí)行，就會生成一個新的請求，從而達到向服務(wù)發(fā)送請求的目的，分析相應(yīng)返回的數(shù)據(jù)。

大家可以編輯捕獲到的請求修改內(nèi)容向服務(wù)器發(fā)送請求，服務(wù)器將發(fā)送的請求進行響應(yīng)，那如果說我可以獲取到別人的sessionID，我就可以將sessionID放在cookie中發(fā)送給服務(wù)器，服務(wù)器看到我是登錄狀態(tài)，我就直接可以繞開登錄界面，直接進入登錄狀態(tài)，這樣就達到了欺騙服務(wù)器的目的。

例如：如果我復(fù)制一個假的證件給服務(wù)器，服務(wù)器并不知道，只能認為是同一個人，這樣就完全可以獲取到持有證件人的所有登錄信息，從而達到欺騙服務(wù)器的目的。

當(dāng)然除了使用Fiddler工具來獲取項目的協(xié)議數(shù)據(jù)，自己可以通過編程語言代碼編寫一些接口來獲取接口的權(quán)限驗證相關(guān)信息，從而使用Fiddler來修改協(xié)議數(shù)據(jù)包，達到欺騙服務(wù)器的目的。

Fiddler不僅僅是一款抓包工具，同樣也可以用來捕獲協(xié)議并且對協(xié)議進行修改從而達到欺騙服務(wù)器的目的，也可以當(dāng)做一款安全性測試的工具，現(xiàn)在市場上所使用的安全性掃描工具也是基于Fiddler抓包工具的原理來實現(xiàn)的，Fiddler除了可以用來抓PC端的HTTP或者HTTPS的包，還可以抓取移動端網(wǎng)頁的數(shù)據(jù)包，在今天這堂課程我們就不做過多講解。

如果想抓移動端的包，一定要勾選遠程連接的一些選擇項，一定要確認本機的網(wǎng)絡(luò)與手機在同一個wifi下才能正常抓包。

那HTTPWatch也是一款抓包工具，這款工具更多時候用做抓包分析，當(dāng)然Fiddler同樣能夠達到接口測試的目的，所以大家只需要掌握一款核心工具即可，學(xué)習(xí)工具更重要的是傾向于原理的學(xué)習(xí)，無論一款工具做得多么強大，我們的目標僅僅是抓包，只要能夠滿足日常工作需要即可。

綜上所述，今天主要對Fiddler這款協(xié)議捕獲工具的抓包包原來及Session欺騙的原理過程與大家進入深入的講解，希望大家通過今天的學(xué)習(xí)能夠讓自己的知識面提升到一定的層面，后期更多干貨內(nèi)容敬請期待。

總結(jié)

以上是生活随笔為你收集整理的修改数据包欺骗服务器,Fiddler协议捕获编辑工具与Session欺骗原理详解的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。