1.APP抓包代理设置
** 1.手机连PC上的wifi
很多人喜欢在PC上装个360wifi之类的,手机就连着这个热点使用网络。首先要找出wifi的网关,我这里是 192.168.253.1
然后在手机上设置如下:
在fiddler上设置代理端口和手机上的一致
手机在浏览器上输入wifi网关:代理端口号,下载证书
点击FiddlerRoot certificate,立即下载
在手机上打开APP,在fiddler上即可看到请求
如果需要单独过滤APP的请求,做一下过滤
** 2.手机连wifi
wifi和装fiddler的PC,网络在同一个子网内。
PC的IP地址
打开fiddler设置代理
及https
重启fiddler,手机浏览器打开192.168.1.16:8888,点击底部的下载证书
输入证书的名字,用途选第一个应用
可能还会要求设置锁屏密码,按照提示设置就可以了
设置手机网络的代理
然后再手机上操作App,查看PC上的fiddler,就抓到包了
** 3.PC上模拟器运行App
先找出本地的IP地址,我本地地址是172.16.2X.XX
在模拟器上打开浏览器,输入PC的IP地址:172.16.2X.XX:8888 代理端口刚才在fiddler上设置为8888
下载完成,需要给证书命名,命名完毕可能需要设置一个PIN码,按照提示设置即可
打开APP发现,fiddler上没有抓到包,再次检查设置,点击证书提示受第三方监控
找到模拟器上的设置>wlan, 修改网络
保存后,重新打开APP,在fiddler上可以抓到包了
2.简单请求并发
选择某个请求,shift+s,设置并发次数,提交即可做简单的并发
3.抓https的包
4.绕过设置断点设置
在底部输入bpu 域名或者IP 或者在rules>aotomatic breakpoint>选择before 或after
requestes,设置后所有的请求,都需要分步通过后才能进入下一步。(多次上图不成功,就不上图了)
比如前段绕过,打断点为请求后,在前端提交请求后,捕获到该请求的内容,修改为其他内容,再通过,入库。如果入库未做校验,则入库的内容就和前端输入的内容不一致。
5.模拟请求
请求的body,要对数据的格式做声明
Json格式的声明
Content-Type: application/json; charset=utf-8
请求的body格式如下:
{"paymentAccount":"6258485563236588888","paymentProduct":5,"paymentProductName":"中国银行","proposalOnlyCode":"C1A1O6201909201359180001","prsalApplyFund":"188","prsalCreationTime":"2019-09-20 14:21:17","prsalStatus":1,"lastTime":"2019-09-20 14:21:17","resultCode":200,"success":true}
文本格式的的声明
Content-Type: application/x-www-form-urlencoded
请求的body
dealer=XXXXXXX&userMerchantId=148&withdrawFund=188
