【轉】fiddler抓包HTTPS請求

本文轉自：http://blog.csdn.net/idlear/article/details/50999490

fiddler抓包HTTPS請求

跟着教程來，保證100%成功抓HTTPS包

教程開始

安裝fiddler

首先準備一臺能夠上網的windos電腦，準備一部智能手機。 
fiddler抓包工具：下載地址（ 自行百度一搜一大片）。安裝，打開若是遇到.net framework錯誤，下載一個高本版的.net 便可。好了教程已經完成了一大半。 
打開fiddler隨便打開下瀏覽器。發現已經能夠抓包，但想要抓手機https還須要作一些設置。 

配置fiddler

1. 打開fiddler配置Tools –> Fiddler Options. 
   
2. 打開HTTPS配置項，勾選「CaptureHTTPS CONNECTs」，同時勾選「Decrypt HTTPS traffic」，彈出的對話框選擇是（這裏是按照fiddler本身的證書）若是跟我同樣手機跟電腦是用wifi進行連接的話還須要選擇「…fromremote clients only」。若是須要監聽不可信的證書的HTTPS請求的話，須要勾選「Ignore servercertificate errors」。 
   
3. 打開Conections配置項， 這裏能夠修改Fiddler代理端口號。勾選「Allow remote computersto connect。提示須要重啓fiddler。 
   
4. 哈哈，高端的來了，須要寫點代碼。這裏是爲了能夠抓客戶端使用httpURLConnection的包。 
   Ruler –>CustomizeRules 
   在函數OnBeforeResponse裏面添加下面代碼：

if (oSession.oRequest["User-Agent"].indexOf("Android") > -1 && oSession.HTTPMethodIs("CONNECT")) { oSession.oResponse.headers["Connection"] = "Keep-Alive"; }

添加後代碼爲：

static function OnBeforeResponse(oSession: Session) { if (m_Hide304s && oSession.responseCode == 304) { oSession["ui-hide"] = "true"; } if (oSession.oRequest["User-Agent"].indexOf("Android") > -1 && oSession.HTTPMethodIs("CONNECT")) { oSession.oResponse.headers["Connection"] = "Keep-Alive"; } }

不要忘記重啓fiddler！！！

配置手機

保證手機跟pc是在同一個網段下。 
配置手機鏈接的wifi，可能每一個手機打開wifi配置的方式都不太同樣，仔細研究下，選擇已經鏈接的網絡，打開修改網絡窗口。顯示高級屬性，配置網絡代理–>手動 代理服務器主機名：填寫pc機的IP地址便可例如：192.168.0.4，代理服務器端口號：fiddler的代理端口號，若是沒有修改就是8888。 
關鍵步驟哈： 
下載安裝fiddler的證書 
 
在手機瀏覽器打開 代理服務器：端口號 例如上面填寫的就是192.168.0.4:8888，點擊頁面中的「FiddlerRootcertificate」連接，在彈出的對話框中隨便設置一個名稱肯定便可。

抓包截圖

測試機上沒裝多少軟件，打開百度錢包來試試 

好了。大功告成！

讓咱們想一想

經過fiddler能夠抓包，是否是說https就是不安全的了呢，畢竟全部的請求對咱們來講都是透明的呢。其實剛纔的過程很重要的一點就是咱們下載而且安裝了fiddler的根證書，對於pc端來講就是配置fiddler https選項時彈出的對話框，對於手機來講就是咱們去 pcip地址:fiddler代理端口這個地址下載證書的過程。 
而對https的安全來講，https安全的前提就是可信的根證書！！！！ 
而，以前的操做無疑是在咱們系統裏面安裝了不可信的根證書。使得fiddler對咱們的通訊形成了中間人攻擊！。 
簡單的說就是咱們與服務器進行通訊，會先獲取服務器的證書，進行校驗校驗過程是用本地的可信根證書進行校驗，而裝入fiddler的根證書後，fiddler能夠僞造證書，獲取咱們與服務器通訊的祕鑰，進行破解咱們的通訊。因此對咱們咱們系統來講安裝證書是一個多麼危險的操做！ 
哐哐哐！！查水錶！！！