Charles的幾個用途

一、攔截請求，篡改請求和響應

攔截請求，修改請求能夠測試網站中一些異常的狀況，檢查服務端是否有校驗的狀況

檢查是否存在漏洞，就看攔截以後修改過的數據是否寫進了數據庫

使用方法：

舉例一：上傳文件

一、先打開charles工具（以下圖，第4個開放斷點的按鈕要打開）——而後去瀏覽器中輸入咱們要訪問的地址——會發現charles中會出現瀏覽器中訪問的地址（這個時候你在瀏覽器操做，charlse就會記錄下來）

 

二、而後到你須要設置斷點或攔截請求的頁面後——在須要攔截請求的那一步操做以前（好比上傳一個材料的操做，先點擊上傳材料按鈕，而後就去抓包工具裏面打斷點），給訪問地址文件夾設置斷點（右鍵--Breakpoints，不要對具體的某個請求設置斷點，而是整個訪問地址文件夾）

三、若是隻是攔截請求，就回到瀏覽器中去刷新下——會發現charles中這個地址前面變紅，不管瀏覽器中作什麼操做，charles中都不改變，而且瀏覽器中會一直轉圈圈，訪問不了

四、若是須要攔截請求並篡改請求，跳過第3步，(步驟：打開charles——瀏覽器訪問網頁——訪問到網頁中須要攔截的那一步——charles打斷點——瀏覽器中進行操做（好比上傳某個文件）——回到charles進行篡改)

4.一、在瀏覽器頁面操做上傳文件，好比1.txt

 

 

 

4.二、而後會自動跳轉到或手動打開charles斷點操做頁面Breakpoints的概述，右側會出現Edit Request的編輯框——點擊Edit Request

 

4.三、點擊Text，對上傳的文件進行修改，好比改爲1.asp這個文件

 

 

4.四、點擊1次execute，進入到Edit Response頁面中，點擊JSON Text能夠查看到，剛剛咱們修改過的文件後綴已經變成了asp這個後綴

 

 

 

4.五、再次點擊Execute，再回到網頁上去看，剛剛上傳的1.txt是否變成了你修改事後的名字，而且去看下數據庫裏面是否有插入一條你修改事後的數據，若是有，則表示請求被篡改了，須要修改

其實4.4的步驟中已經看到上傳.asp這個文件的狀況了，展現的狀況就是數據庫裏面展現的文件名之類的，你們能夠去數據庫，也能夠去附件存儲路徑裏面能查到.asp文件

 

 

 

五、若是須要攔截請求並篡改響應：跳過第3步，直接在頁面操做上傳文件1.txt，而後會自動跳轉到或手動打開charles斷點操做頁面Breakpoints的概述，右側會出現Edit Request的編輯框——直接點擊Execute——會出現Edit Reponse——找到響應中的JSON Text輸出結果，進行修改，點擊Execute，瀏覽器是會輸出篡改後的請求，數據庫裏面是篡改以前的，這個是正常的狀況，（感受這個篡改響應沒什麼用）

總結：看這個程序有沒有問題，就看數據庫到底有沒有入庫

 

若是篡改請求後，獲得的響應結果和實際結果不一致，則表示是有問題的

 

舉例二：檢查密碼是否密文傳輸，在Edit Request的Text裏面能夠看到是否加密處理了

 

 

 

二、域名映射

請求地址a會快速到達請求地址b上，通常是爲了快速把請求轉發到另一個環境上，好比正式環境的接口和測試環境的接口不同時，測試環境測試經過以後須要用到正式環境的接口去進行測試，開發從新打包比較浪費時間，能夠採用這種域名映射

使用方法：

Tools——Map Remote——勾選Enable Map Remote——Add添加後，輸入from的域名，和to的域名，若是必要要寫請求協議，點擊OK再去訪問from的域名會發現，訪問的是a的地址，可是頁面是b的頁面

注意：訪問完成以後，Enable Map Remote前面的勾選框必定要去掉，不要勾選

 

三、弱網測試

使用方法：

Proxy--Throttle Settings--勾選--設置弱網測試

 

四、過濾請求

只想看你想看的域名，就能夠設置包括include的內容

使用方法：

Proxy——Recording Settings——Include——域名輸入*sss*,必定要加通配符——網頁中只要域名中包含sss的，在charles中都能抓到

 

五、抓手機的包

經過配置後，手機訪問瀏覽器，charles工具也能夠抓到信息

使用方法：

一、肯定手機和電腦在同一個局域網，能互相ping通（charles中Help--Local Ip Address查看）

二、手機在連wifi的地方設置代理，配置代理改成手動--服務器ip連1中查看到的ip，端口默認是8888，點擊右上角的存儲--charles中會彈框說是否容許--容許後手機端訪問瀏覽器，抓包工具中就會出現抓包信息