Android抓包方法(轉)

來源:互聯網
上載者:User

標籤:webforms   登入   代理   wifi   ack   tps   沒有   margin   class   

Android抓包方法(轉)

 

Findyou

地址:http://www.cnblogs.com/findyou/p/3491014.html

前言:

做前端測試,基本要求會抓包,會分析請求資料包,查看介面是否調用正確,資料返回是否正確,問題產生是定位根本原因等。

不管是之前做HTML5手機項目測試,還是現在的企郵app測試,經常需要抓包,做前端開發基本第一時間會想到Fiddler,的確Fiddler比較強大方便,本文主要以Android手機為例介紹通過Fiddler抓行動數據包,Iphone、Ipad、Win Phone等可設代理的手機,也均可用此方法。


 

 

 [目錄]

1、抓包原理

2、方法優劣

3、準備工作

4、執行個體

5、其他


1、抓包原理Fiddler是類似Proxy 伺服器的形式工作,它能夠記錄所有你的電腦和互連網之間的http(S)通訊,可以查看、修改所有的“進出”的資料。使用Proxy 位址:127.0.0.1, 預設連接埠:8888。開啟Fiddler會自動化佈建代理,正常退出會自動登出代理,非正常退出上不了網,重起一次Fiddler,或直接在IE裡取消代理即可。

 

2、方法優劣 [優點]:1).Fiddler操作簡單、方便、功能強大2).能即時抓包,可類比修改請求2).只需要手機支援代理即可3).適用廣,安卓、Iphone、Ipad、WinPhone等支援代理手機均適用

 

[缺點]:1).電腦需要安裝Fiddler2).測試手機需要支援Wifi3).測試手機與電腦需要同一網路4).所測APP需支援代理 3、準備工作

1).檢查電腦網路連接

a.使用同網路內的另一台電腦)ing本機,檢查是否連通正常。 

原因:我之前測HTML5項目就發現Fiddler代理抓不到包,手機設定均正確,後發現是網路內找不到本機,本機防火牆設定問題。

另外需要關注是否同一網路,如果手機GPRS等上網,你在區域網路內抓包...哥覺得你可以改行了... 

(約定:後文所述Fiddler所在電腦均稱為本機) 

 

2).Fiddler安裝

a.: http://fiddler2.com/get-fiddler

b.安裝:省略(下一步...下一步即可)


3).Fiddler配置 

a.允許遠端電腦串連Fiddler

菜單:Tools-> Fiddler Options->Connections,勾選"Allow remote computers to connect" 

 

注:8888為預設連接埠號碼,可修改,但需注意兩點,一是本機空閑連接埠,二是手機代理設定時連接埠要一致。

 

b.配置可捕獲HTTPS請求(*不需要捕獲HTTPS,則忽略此步*) 

菜單:Tools-> Fiddler Options->Connections,勾選"Capture HTTPS CONNECTs"後

再勾選"Decrypt HTTPS traffic"、"Ignore server certificate errors"

 

注1:勾選項英文不認識,請Google,不另做解釋

 

4).手機安裝HTTPS認證(*不需要捕獲HTTPS,則忽略此步*) 

a.首先確定Fiddler所在電腦的IP地址:例:192.168.8.8 

b.開啟被測手機瀏覽器,訪問http://192.168.8.8:8888,點"FiddlerRoot certificate" 然後安裝認證

註:Iphone、Ipad安裝則很簡單,點擊安裝即可。Android安裝稍微麻煩點,則需要先設定手機鎖屏密碼、數字 PIN 碼,安裝認證時會提示,按步驟走即可。 


4、執行個體

ThinkDrive抓包執行個體

一期測試時,涉汲到APP安全性測試,因此需要查看傳輸資料是否存在純文字密碼等。

 

1).開啟Fiddler,確定本機IP、Fiddler連接埠號碼

本機IP:192.168.8.8

Fiddler連接埠號碼:8888   

 

 

2).手機串連本機所在同網路Wifi,設定代理

a.代理主機名稱:Fiddler所在電腦IP

b.Proxy 伺服器連接埠: Fiddler使用的連接埠

 

3).APP操作,產生請求資料

a.例:登入  

 


 

b.例:退出登入

 

 

4).分析Fiddler抓包資料

a.例:登入請求分析

1).雙擊查看登入請求,選擇WebForms或JSON等其他類標籤,查看請求參數值,對照介面文檔及你想要測試的點分析,請求是否正確,查看返回資料是否正確。

2).同帳號,不同密碼;不同帳號,同密碼等測試案例,測試多次登入後發現,密碼僅為MD5加密,沒有對密碼進行很好的加密傳輸 

3).分析存在以下問題:

問題1:帳號密碼採用http傳輸,帳號與密碼(MD5值)區域網路可以捕獲; 

問題2:密碼雖採用MD5加密,但傳輸未加密,簡單密碼可以線上解密(圖中密碼線上解密不到1秒:123qwe);問題3:密碼不解密也一樣可以登入,通過A帳號在app登入,再用sniffer得到的B 帳號與密碼(MD5值),使用Fiddler修改A帳號的請求完成B帳號在APP登入。 

注1:Fiddler功能使用,請Google或百度,此處不詳說

注2:以上執行個體僅為參考,具體測試,以所相關業務及測試目標為導向進行測試分析。  

 

5、其他

本文雖主要對Android手機抓包舉例,但其目的是說明,不管是電腦,還是手機,還是其他上網終端,都可以通過代理的方式來抓包(HTTS、HTTPS)。


Android抓包方法(轉)

相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.