你想要的Fiddler抓包实操小技巧

一、fiddler简介和安装

1.1、工具介绍 fiddler是一个http协议调试代理工具，它能够记录并检查所有你的电脑和互联网之间的http通讯，设置断点，查看所有的“进出”fiddler的数据（指cookie,html,js,css等文件）。fiddler要比其他的网络调试器要更加简单，因为它不仅仅暴露http通讯，还提供了一个用户友好的格式。

1.2、工具安装 安装fiddler，安装位置自己选择，fiddler官网地址：[https://www.telerik.com/fiddler]，请需要同学自行下载哦

二、如何使用fiddler抓包

2.1、抓取移动端数据包 如果要抓手机APP的包，接下来我们来设置fiddler的相关设置，如果只抓APP的HTTP包，也就是没有加ssl安全协议的https数据包的话，我们基本不用设置什么就可以抓取，如下，记住端口号就行了：

2.2、步骤 （1）在电脑cmd命令窗口查看自己电脑的IP； （2）然后在手机连接的WiFi上设置代理，代理地址是电脑的IP，端口是fiddler的端口8888（注意：电脑和手机要处于同一网络环境）； （3）接着打开APP进行数据请求； （4）fiddler界面查看需要的请求和响应数据，是不是抓到我们请求的数据连接了；

3、抓取APP的HTTPS数据包 3.1、步骤 （1）在下载fiddler的时候，顺带去下载一个基于iOS和安卓的插件：CertMaker （百度官网下载就行）； （2）下载好了默认安装就行；

（3）查看安装好了之后去手机，对于iOS手机：在手机自带浏览器safari浏览器地址栏输入安装fiddler的电脑的IP+fiddler的端口8888，下载证书，然后在手机设置里面设置允许使用证书，完事；

（4）对于安卓手机：在手机自带浏览器地址栏输入安装fiddler的电脑的IP+fiddler的端口8888（如：192.168.1.100:8888），进行下载和安装证书，也完事（注意：有的安卓机会提示安装证书要设置锁屏密码，按照提示设置即可）；

（5）接下来和上面说的抓取http数据请求一致，设置手机网络代理，整个流程完毕；

注意 7.0及以上的安卓手机系统默认不识别我们安装的证书，安卓9.0以上只识别系统明文的证书

解决办法 1、换ios手机或者安卓系统7以下的手机进行抓取数据请求。

三、抓取电脑端https数据包

3.1、步骤 （1）已安装fiddler，如抓不到包，请看后续步骤操作； （2）在cmd命令窗口输入certmgr.msc，打开证书管理器，搜索fiddler，把fiddler证书全部删掉，浏览器的fiddler证书也全部删除； （3）接下来去浏览器设置代理，127.0.0.1：8888，就可以抓HTTPS的请求了；

3.2、抓取浏览器的https数据包失败怎么办？

（1）清除电脑上的fiddler证书；

WIN+R快捷键，输入：certmgr.msc， 然后回车，查找所有fiddler证书，然后删除；

（2）清除浏览器上的fiddler证书；

清除浏览器上的证书文件 ,此处需要仔细查找带有FiddlerRoot的字样，并删除，以谷歌浏览器为例说明，在浏览器上输入: chrome://settings/；

（3）打开fiddler，点击工具栏中的Tools—>Options，点击Actions,选择最后一项，Reset All certificates，然后关闭；

证书全部清除后重新安装证书即可完成抓包，之前可能因为证书混乱导致抓不到。

四、fiddler断点

3.1、步骤

（1）找到需要打断点的请求链接 （2）点击请求地址，选择菜单栏的rules-automatic breakpoints-before requests（意思：在在这个请求发送到服务器之前），进行拦截， （3）修改数据后，得到一个新的请求，点击新的断点请求，对请求数据进行修改 （4）修改好了之后点击‘run to completion’发送打了断点的请求，然后查看请求列表，可进行数据传输安全性测试

小结：

作为测试人员，fiddler是使用频率最高的工具，在没有接口文档的情况下，可以通过前端抓包获取请求的相关数据，确认是接口问题还是前端问题，避免被怼，在进行一些逻辑和逆向思维测试的时候，fiddler简直是神一样的助手，对数据进行修改，发送，验证数据在传输过程中是否进行加密处理，保证敏感数据的安全性，简直是我们测试人员的好帮手。