《吐血整理》進階系列教程-拿捏Fiddler抓包教程(19)-Fiddler精選插件擴展安裝,將你的Fiddler武裝到牙齒
1.簡介
Fiddler本身的功能其實也已經很強大了,但是Fiddler官方還有很多其他擴展插件功能,可以更好地輔助Fiddler去幫助用戶去開發、測試和管理項目上的任務。Fiddler已有的功能已經夠我們日常工作中使用了,為了更好的擴展Fiddler,Fiddler也是支援一些插件的安裝,也支援用戶自己開發插件並安裝。Fiddler提供了豐富的擴展模型,開發和測試人員可以通過這些能夠輕鬆安裝插件來增強Fiddler的功能。下面宏哥將一些有用的、常用的做一下簡單的介紹和講解。
2.插件安裝
1.Fiddler擴展插件下載地址: //www.telerik.com/fiddler/add-ons 如下圖所示:
2.當我們下載安裝好插件之後,這些插件的功能都會出現在Fiddler的輔助選項卡中。
3.安裝插件也很簡單,直接點擊Download下載好之後雙擊就可以安裝了,但是要注意的是安裝插件的時候為了避免不必要的麻煩最好先關閉Fiddler,然後再安裝插件,安裝好插件之後再重啟Fiddler。
3.Fiddler精選插件
宏哥這裡按照插件首字母的先後順序列舉了一些工作中可能遇到或者是常用的、宏哥覺得比較重要的插件給小夥伴或者童鞋們講解和分享一下。
3.1CertMaker for iOS and Android插件
CertMaker for iOS and Android插件之前宏哥在手機抓包的時候就簡單地提到過這款插件,它是解決iOS設備和Android設備,可能無法與Fiddler使用的默認HTTPS攔截證書一起使用。 要解決此不兼容問題,您可以安裝生成證書的插件,該插件生成與那些平台兼容的攔截證書。如下圖所示:
提示:有時候解決證書的問題很管用。安裝好了Fiddler之後重置證書就可以了, 有時候解決證書的問題就可以解決很多抓包的問題。
3.2Gallery 插件
Gallery插件:選擇圖片的會話後,Gallery插件可以顯示所選會話中找到的所有影像的縮略圖。
還提供了帶有可選影像效果的全螢幕幻燈片放映模式。
安裝好之後會在輔助標籤中出現Gallery選項。如下圖所示:
3.3JavaScript Formatter插件
(1)介紹
JavaScript Formatter插件是格式化JavaScript的簡單工具。右鍵單擊任何響應結果是JavaScript的會話,然後選擇Make JavaScript Pretty,或使用「規則」菜單選項對所有下載的腳本自動執行此操作。如下圖所示:
(2)下載與使用
1.官網找到並下載JavaScript Formatter文件,安裝時會生成JSFormat.dll文件。
說明:根據圖中的地址可以找到該文件,把該文件放到安裝Fiddler文件下Script目錄下。
2.重啟Fiddler,在請求列表中選擇一個JS相關的請求,如下圖所示:
3.右擊選擇Make JavaScript Pretty選項,在左邊響應窗口中的TextView,SyntaxView都可以看到格式化效果。(推薦使用SyntaxView查看),可以看到語法是高亮的,而不會是一團密密麻麻的了。如下圖所示:
3.4Privacy scanner 插件
Privacy Scanner插件可以標記基於P3P標頭設置cookie和顏色程式碼的響應。如下圖所示:
1.下載Privacy scanner插件並安裝之後, Fiddler將獲得一個名為Privacy的新頂級菜單。
2.開啟菜單下的選項。如下圖所示:
3.然後請求會通過不同顏色進行標示。如下圖所示:
上圖中會話顏色說明:
綠色表示發送了令人滿意的P3P政策。
黃色表示沒有設置P3P策略的cookie。
橙色表示會話發送P3P策略,該策略不允許在第三方上下文中使用cookie。
紅色表示發送了無效的P3P策略。
4.第三方擴展插件
很多國外的開發大佬和組織已經構建了很多Fiddler擴展,這些擴展有效地增強了Fiddler在對web應用進行性能測試和安全測試方面的功能。
4.1性能擴展組件
Fiddler本身已經提供很多重要的性能分析和優化功能,然而,擴展給Fiddler帶來了更強大的功能。
neXpert性能報告生成器–它是微軟在線服務測試團隊開發的一款擴展,neXpert專註於性能優化,可以對web站點進行評估並生成報表,會指出問題並給出解決方案。
StresStimulus-這款負載能力測試擴展支援對web站點的承載能力進行測試並記錄測試過程中的一些關鍵數據,使用這個擴展可以評估一個網站可以為多少個並發用戶提供服務。許可方式:免費試用。
4.2安全擴展組件
Fiddler支援多種安全測試。網路安全專家們構建了一些強大的安全方面的擴展組件,可以幫助新手發現並解決安全問題。
Watcher-由Casaba Security團隊開發。Watcher是一種「被動安全審計器」,它可以監測瀏覽器和網站的交互。該工具會偵聽請求和響應,標記出潛在的安全漏洞。專業的安全滲透(security penetration)測試人員使用該工具來評估主要站點。許可方式:開源軟體。
x5s-Casaba Security團隊開發的另一個組件,x5s可以評估網站漏洞,包括由於字符集相關問題導致的跨站腳本錯誤。許可方式:開源軟體。
intruder21-該組件支援對web應用程式執行模糊測試(fuzz-testing)。確定了Fiddler接收的目標請求後,該擴展會生成模糊負載,並針對網站施加這些負載。許可方式:免費軟體。
Ammonite-該組件監測常見的網站漏洞,包括SQL注入、作業系統命令注入、跨站腳本運行、文件夾帶(file inclusion)以及緩衝區溢出。許可方式:免費試用。
5.小結
有些擴展插件對於大多數Fiddler用戶都有用,在Fiddler安裝包中沒有包含它們主要是為了減小安裝文件的大小。其他擴展插件只在某些不太常見的場景下有用,通過附件組件模型提供這些功能可以避免Fiddler過分「膨脹」-同時也確保了Fiddler的附加組件模型足夠強大,可以滿足開發和測試社區的需求。好了,今天時間也不早了,宏哥就講解和分享到這裡,感謝你耐心地閱讀!!!
