fiddler过滤作用?
过滤器顾名思义就是进行过滤的,可以实现代码的定向执行和预处理。
通俗点说法filter相当于加油站,request是条路,response是条路,目的地是servlet,这个加油站设在什么地方对什么数据操作可以由你来控制。
备注:过滤器可以再请求和响应之前做一部分预处理,有效的过滤掉不需要的内容,而且过滤器可以被复用,节省了大量的复用代码,提高了java的代码执行效率
为什么有些人喜欢用fiddler来抓包?
主要是因为windows系统用得人比较多,我个人喜欢用的软件是Charles和阿里开源的AnyProxy。如果是在Linux服务器,我则会用tcpdump抓下包,然后用wireshark分析。
关于网络抓包
只要我们进行网络请求,自然会有数据包的产生,通过抓取数据包,可以知道请求的数据是什么,响应回来的结果又是什么。
如果你是HTTP协议的报文,那么恭喜你,你能被轻松地抓取数据包,然后被模拟进行请求。
所以现在一般为了降低风险,网站都会采用HTTPS协议请求数据,但是不是这样就安全呢?
不一定。因为下面的抓包软件在满足一定条件下就可以伪装进行抓取网络数据包。
Fiddler
Fiddler是在windows上运行的程序,专门用来捕获HTTP,HTTPS的。
当启动Fiddler,程序是作为一个代理服务器,当客户端配置了Fiddler代理地址之后,所有数据请求在达到目标服务器之前都会经过Fiddler,同样的,所有的http响应都会在返回客户端之前流经Fiddler。
Fiddler可以抓取支持http代理的任意程序的数据包,如果要抓取https会话,要先在对应设备安装证书。
这里就不展开如何安装证书,但是只有电脑/浏览器信任了这个工具证书,才可以真正获取到数据包,不会被拦截。
Fiddler场景
- 电脑端抓取类似微信、网站等数据包,然后分析报文,模拟请求。
- 移动端主要抓取手机发往真正网站的数据,在发送数据前,通过手机安装工具证书,设置代理服务,那么所有的数据包可以在Fiddler里被查看。具体请看下图展示的结构图:
不过随着手机系统安全性的提高,现在手机抓包越来越提高门槛,APP不再信任系统证书,只信任APP内部的证书,这也从侧面反应APP移动端安全性的提高。
结束语
现在做IT行业的人员,掌握网络抓包是一项技能,通过它可以验证软件的安全性,分析APP出现的问题,请勿用于非法用途!