好久没有更新博客了,主要是最近太忙了,还好有朋友对小弟不离不弃,老是"督促"我,今天就朋友关心的问题,来做一个总结吧。
随着APP应用越来越广泛,APP的安全也越来越受到重视,做为web攻城师,肯定是对APP的http/https抓包方法比较关注的,那么常用的抓包工具有哪些? 当然是fiddler 和 burpsuite 了 ^_^ , 接下来分别总结:
Android模拟器:
想必大家也不想在自己的手机上装各种app吧,十分不方便,所以推荐大家使用android模拟器来完成抓包。
代理设置工具:Proxydroid,可以很方便的一键打开关闭http代理。
将其中的host及端口修改为你的本机ip地址,及fiddler/burpsuite的监听端口
fiddler 抓包方法:
1、fiddler下载地址:
2、fiddler设置要点:
请注意图中的勾选,这么做是为了排除系统本身的其它数据包影响,这里我们只考虑抓android的包。
隐藏图片及CONNECTs数据包,去掉一些不需要的链接地址。
开启https抓包,请注意相关选项。。
3、在android模拟器中导入fiddler证书。
下载证书,并导入到模拟器中,需要为模拟器设置一个密码,这个随意设。
这样就表示安装成功了。导入证书主要为了解决https抓包的相关问题。。
4、接下来就可以开始抓包了。
burpsuite 抓包方法:
1、burpsuite 下载地址
请在本博客自行查找
2、burpsuite设置
burpsuite想必大家都熟悉,不熟的请在我博客找视频教程,也可以参考下面的文章。
http://drops.wooyun.org/tools/1548
3、证书导入方法:
访问http://burp/ 看是否会出现burpsuite的界面,如果不行的话就直接访问http://ip:8080即可,端口写你自己的。
4、开始愉快的抓包吧。。
ok,本次总结,就总结这么多了,burpsuite由于黑客们用的比较多,所以写的比较简单,不会玩的,在博客留言。
PC端抓包,请参考下面的文章:
http://blog.csdn.net/zyw_anquan/article/details/47904495
from www.waitalone.cn.thanks for it.
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论