對于Web測試�����,我們可以很容易的抓取到相關的http請求包�,不用什么專業軟件�����,甚至瀏覽器都能幫我們完成這個功能����,拿到需要的http請求連接 ��。
http連接對于測試同學來說����, 不論做功能�����、性能或是安全,都是非常重要的, 他過濾了前臺的因素,讓測試同學直接能對后臺進行交互。
以上是http連接的重要性,基本等于廢話����,下面是正題�。
客戶端安全測試��,同樣需要拿到http的請求包����,由于客戶端的前段限制繞過比較麻煩�,那么在做安全測試的過程中,直接拿到http的請求包顯得更外重要����。
有如下方法可以拿到請求的http包:
1��、在不配置代理的情況下,對Android客戶端(模擬器)的數據我們可以使用wireshark或者etherpeek等網絡層抓包軟件抓取�,模擬器本身的數據交互是通過電腦主機的網卡進行的��,所以我們通過抓包軟件抓取主機網卡的數據包,經過過濾����,便可得到模擬器客戶端中的數據包���,類似這樣:
訪問之后���,通過wireshark過濾http請求����,便可找到我們剛剛發送的請求���。
當然�,這是種比較麻煩的方法����,不過可以更確切的看到網絡包發送的內容。
另一種辦法是對模擬器配置代理�,讓所有請求包可以通過外部主機的七層抓包軟件����,例如fiddler �����,burpsuite等所捕獲到�����,配置代理需要先做一次設置:類似這樣:
進 入“設置”選項之后����,按照圖示設置
這里proxy 設置為10.0.2.2是android模擬器對外部主機地址的硬編碼���,端口設為8888是外部主機fiddler 的監聽地址�,當然,如果是burpsuite 可以設置為8080。
那么這樣的話 ,我們就能通過fiddler抓取模擬器中的數據包了, 這樣對測試來講,可以用web端的應用層工具對客戶端的http數據進行處理�����,方便的可就多了���。