技術文章 » 《吐血整理》進階系列教學-拿捏Fiddler抓包教學(19)-Fiddler精選外掛擴充套件安裝,將你的Fiddler武裝到牙齒

《吐血整理》進階系列教學-拿捏Fiddler抓包教學(19)-Fiddler精選外掛擴充套件安裝,將你的Fiddler武裝到牙齒

2022-09-09 09:00:27

1.簡介

Fiddler本身的功能其實也已經很強大了,但是Fiddler官方還有很多其他擴充套件外掛功能,可以更好地輔助Fiddler去幫助使用者去開發、測試和管理專案上的任務。Fiddler已有的功能已經夠我們日常工作中使用了,為了更好的擴充套件Fiddler,Fiddler也是支援一些外掛的安裝,也支援使用者自己開發外掛並安裝。Fiddler提供了豐富的擴充套件模型,開發和測試人員可以通過這些能夠輕鬆安裝外掛來增強Fiddler的功能。下面宏哥將一些有用的、常用的做一下簡單的介紹和講解。

2.外掛安裝

1.Fiddler擴充套件外掛下載地址: https://www.telerik.com/fiddler/add-ons 如下圖所示:

2.當我們下載安裝好外掛之後,這些外掛的功能都會出現在Fiddler的輔助索引標籤中。

3.安裝外掛也很簡單,直接點選Download下載好之後雙擊就可以安裝了,但是要注意的是安裝外掛的時候為了避免不必要的麻煩最好先關閉Fiddler,然後再安裝外掛,安裝好外掛之後再重啟Fiddler。

3.Fiddler精選外掛

宏哥這裡按照外掛首字母的先後順序列舉了一些工作中可能遇到或者是常用的、宏哥覺得比較重要的外掛給小夥伴或者童鞋們講解和分享一下。

3.1CertMaker for iOS and Android外掛

CertMaker for iOS and Android外掛之前宏哥在手機抓包的時候就簡單地提到過這款外掛,它是解決iOS裝置和Android裝置,可能無法與Fiddler使用的預設HTTPS攔截證書一起使用。 要解決此不相容問題,您可以安裝生成證書的外掛,該外掛生成與那些平臺相容的攔截證書。如下圖所示:

提示:有時候解決證書的問題很管用。安裝好了Fiddler之後重置證書就可以了, 有時候解決證書的問題就可以解決很多抓包的問題。

3.2Gallery 外掛

Gallery外掛:選擇圖片的對談後,Gallery外掛可以顯示所選對談中找到的所有影象的縮圖。

還提供了帶有可選影象效果的全螢幕幻燈片放映模式。

安裝好之後會在輔助標籤中出現Gallery選項。如下圖所示:

3.3JavaScript Formatter外掛

(1)介紹

JavaScript Formatter外掛是格式化JavaScript的簡單工具。右鍵單擊任何響應結果是JavaScript的對談,然後選擇Make JavaScript Pretty,或使用「規則」選單選項對所有下載的指令碼自動執行此操作。如下圖所示:

(2)下載與使用

1.官網找到並下載JavaScript Formatter檔案,安裝時會生成JSFormat.dll檔案。

說明:根據圖中的地址可以找到該檔案,把該檔案放到安裝Fiddler檔案下Script目錄下。

2.重啟Fiddler,在請求列表中選擇一個JS相關的請求,如下圖所示:

3.右擊選擇Make JavaScript Pretty選項,在左邊響應視窗中的TextView,SyntaxView都可以看到格式化效果。(推薦使用SyntaxView檢視),可以看到語法是高亮的,而不會是一團密密麻麻的了。如下圖所示:

3.4Privacy scanner 外掛

Privacy Scanner外掛可以標記基於P3P檔頭設定cookie和顏色程式碼的響應。如下圖所示:

1.下載Privacy scanner外掛並安裝之後, Fiddler將獲得一個名為Privacy的新頂級選單。

2.開啟選單下的選項。如下圖所示:

3.然後請求會通過不同顏色進行標示。如下圖所示:

上圖中對談顏色說明:

綠色表示傳送了令人滿意的P3P政策。
黃色表示沒有設定P3P策略的cookie。
橙色表示對談傳送P3P策略,該策略不允許在第三方上下文中使用cookie。
紅色表示傳送了無效的P3P策略。

4.第三方擴充套件外掛

很多國外的開發大佬和組織已經構建了很多Fiddler擴充套件,這些擴充套件有效地增強了Fiddler在對web應用進行效能測試和安全測試方面的功能。

4.1效能擴充套件元件

Fiddler本身已經提供很多重要的效能分析和優化功能,然而,擴充套件給Fiddler帶來了更強大的功能。

neXpert效能報告生成器--它是微軟線上服務測試團隊開發的一款擴充套件,neXpert專注於效能優化,可以對web站點進行評估並生成報表,會指出問題並給出解決方案。

StresStimulus-這款負載能力測試擴充套件支援對web站點的承載能力進行測試並記錄測試過程中的一些關鍵資料,使用這個擴充套件可以評估一個網站可以為多少個並行使用者提供服務。許可方式:免費試用。

4.2安全擴充套件元件

Fiddler支援多種安全測試。網路安全專家們構建了一些強大的安全方面的擴充套件元件,可以幫助新手發現並解決安全問題。

Watcher-由Casaba Security團隊開發。Watcher是一種「被動安全審計器」,它可以監測瀏覽器和網站的互動。該工具會偵聽請求和響應,標記出潛在的安全漏洞。專業的安全滲透(security penetration)測試人員使用該工具來評估主要站點。許可方式:開源軟體。

x5s-Casaba Security團隊開發的另一個元件,x5s可以評估網站漏洞,包括由於字元集相關問題導致的跨站指令碼錯誤。許可方式:開源軟體。

intruder21-該元件支援對web應用程式執行模糊測試(fuzz-testing)。確定了Fiddler接收的目標請求後,該擴充套件會生成模糊負載,並針對網站施加這些負載。許可方式:免費軟體。

Ammonite-該元件監測常見的網站漏洞,包括SQL隱碼攻擊、作業系統命令注入、跨站指令碼執行、資料夾帶(file inclusion)以及緩衝區溢位。許可方式:免費試用。

5.小結

  有些擴充套件外掛對於大多數Fiddler使用者都有用,在Fiddler安裝包中沒有包含它們主要是為了減小安裝檔案的大小。其他擴充套件外掛只在某些不太常見的場景下有用,通過附件元件模型提供這些功能可以避免Fiddler過分「膨脹」-同時也確保了Fiddler的附加元件模型足夠強大,可以滿足開發和測試社群的需求。好了,今天時間也不早了,宏哥就講解和分享到這裡,感謝你耐心地閱讀!!!