《吐血整理》进阶系列教程-拿捏Fiddler抓包教程(19)-Fiddler精选插件扩展安装,将你的Fiddler武装到牙齿

2022-10-04 21:05:18 浏览数 (2)

1.简介

Fiddler本身的功能其实也已经很强大了,但是Fiddler官方还有很多其他扩展插件功能,可以更好地辅助Fiddler去帮助用户去开发、测试和管理项目上的任务。Fiddler已有的功能已经够我们日常工作中使用了,为了更好的扩展Fiddler,Fiddler也是支持一些插件的安装,也支持用户自己开发插件并安装。Fiddler提供了丰富的扩展模型,开发和测试人员可以通过这些能够轻松安装插件来增强Fiddler的功能。下面宏哥将一些有用的、常用的做一下简单的介绍和讲解。

2.插件安装

1.Fiddler扩展插件下载地址: https://www.telerik.com/fiddler/add-ons 如下图所示:

2.当我们下载安装好插件之后,这些插件的功能都会出现在Fiddler的辅助选项卡中。

3.安装插件也很简单,直接点击Download下载好之后双击就可以安装了,但是要注意的是安装插件的时候为了避免不必要的麻烦最好先关闭Fiddler,然后再安装插件,安装好插件之后再重启Fiddler。

3.Fiddler精选插件

宏哥这里按照插件首字母的先后顺序列举了一些工作中可能遇到或者是常用的、宏哥觉得比较重要的插件给小伙伴或者童鞋们讲解和分享一下。

3.1CertMaker for iOS and Android插件

CertMaker for iOS and Android插件之前宏哥在手机抓包的时候就简单地提到过这款插件,它是解决iOS设备和Android设备,可能无法与Fiddler使用的默认HTTPS拦截证书一起使用。 要解决此不兼容问题,您可以安装生成证书的插件,该插件生成与那些平台兼容的拦截证书。如下图所示:

提示:有时候解决证书的问题很管用。安装好了Fiddler之后重置证书就可以了, 有时候解决证书的问题就可以解决很多抓包的问题。

3.2Gallery 插件

Gallery插件:选择图片的会话后,Gallery插件可以显示所选会话中找到的所有图像的缩略图。

还提供了带有可选图像效果的全屏幻灯片放映模式。

安装好之后会在辅助标签中出现Gallery选项。如下图所示:

3.3JavaScript Formatter插件

(1)介绍

JavaScript Formatter插件是格式化JavaScript的简单工具。右键单击任何响应结果是JavaScript的会话,然后选择Make JavaScript Pretty,或使用“规则”菜单选项对所有下载的脚本自动执行此操作。如下图所示:

(2)下载与使用

1.官网找到并下载JavaScript Formatter文件,安装时会生成JSFormat.dll文件。

说明:根据图中的地址可以找到该文件,把该文件放到安装Fiddler文件下Script目录下。

2.重启Fiddler,在请求列表中选择一个JS相关的请求,如下图所示:

3.右击选择Make JavaScript Pretty选项,在左边响应窗口中的TextView,SyntaxView都可以看到格式化效果。(推荐使用SyntaxView查看),可以看到语法是高亮的,而不会是一团密密麻麻的了。如下图所示:

3.4Privacy scanner 插件

Privacy Scanner插件可以标记基于P3P标头设置cookie和颜色代码的响应。如下图所示:

1.下载Privacy scanner插件并安装之后, Fiddler将获得一个名为Privacy的新顶级菜单。

2.开启菜单下的选项。如下图所示:

3.然后请求会通过不同颜色进行标示。如下图所示:

上图中会话颜色说明:

代码语言:javascript复制
绿色表示发送了令人满意的P3P政策。
黄色表示没有设置P3P策略的cookie。
橙色表示会话发送P3P策略,该策略不允许在第三方上下文中使用cookie。
红色表示发送了无效的P3P策略。

4.第三方扩展插件

很多国外的开发大佬和组织已经构建了很多Fiddler扩展,这些扩展有效地增强了Fiddler在对web应用进行性能测试和安全测试方面的功能。

4.1性能扩展组件

Fiddler本身已经提供很多重要的性能分析和优化功能,然而,扩展给Fiddler带来了更强大的功能。

neXpert性能报告生成器--它是微软在线服务测试团队开发的一款扩展,neXpert专注于性能优化,可以对web站点进行评估并生成报表,会指出问题并给出解决方案。

StresStimulus-这款负载能力测试扩展支持对web站点的承载能力进行测试并记录测试过程中的一些关键数据,使用这个扩展可以评估一个网站可以为多少个并发用户提供服务。许可方式:免费试用。

4.2安全扩展组件

Fiddler支持多种安全测试。网络安全专家们构建了一些强大的安全方面的扩展组件,可以帮助新手发现并解决安全问题。

Watcher-由Casaba Security团队开发。Watcher是一种“被动安全审计器”,它可以监测浏览器和网站的交互。该工具会侦听请求和响应,标记出潜在的安全漏洞。专业的安全渗透(security penetration)测试人员使用该工具来评估主要站点。许可方式:开源软件。

x5s-Casaba Security团队开发的另一个组件,x5s可以评估网站漏洞,包括由于字符集相关问题导致的跨站脚本错误。许可方式:开源软件。

intruder21-该组件支持对web应用程序执行模糊测试(fuzz-testing)。确定了Fiddler接收的目标请求后,该扩展会生成模糊负载,并针对网站施加这些负载。许可方式:免费软件。

Ammonite-该组件监测常见的网站漏洞,包括SQL注入、操作系统命令注入、跨站脚本运行、文件夹带(file inclusion)以及缓冲区溢出。许可方式:免费试用。

5.小结

  有些扩展插件对于大多数Fiddler用户都有用,在Fiddler安装包中没有包含它们主要是为了减小安装文件的大小。其他扩展插件只在某些不太常见的场景下有用,通过附件组件模型提供这些功能可以避免Fiddler过分“膨胀”-同时也确保了Fiddler的附加组件模型足够强大,可以满足开发和测试社区的需求。好了,今天时间也不早了,宏哥就讲解和分享到这里,感谢你耐心地阅读!!!

0 人点赞