HTTPS安全调试必备工具——Fiddler的使用与探索

HTTPS安全调试必备工具——Fiddler的使用与探索

一、引言

随着网络安全形势的不断升级，HTTPS已经成为互联网上数据通信的标准方式。

在进行网络安全调试时，开发者往往面临诸多挑战。

这时，一款强大的工具——Fiddler可以帮助我们进行深入的HTTPS调试，使我们在复杂的网络环境中更高效地识别和解决安全问题。

本文将详细介绍如何使用和探索Fiddler这一HTTPS安全调试必备工具。

二、什么是Fiddler？

Fiddler是一款免费开源的HTTP调试代理服务器，它能够捕获HTTP和HTTPS通信，并提供丰富的网络流量分析功能。

通过Fiddler，开发者可以实时监控网络请求和响应，分析网络性能瓶颈，以及进行网络安全调试。

Fiddler还支持各种插件扩展，为用户提供了强大的定制能力。

三、Fiddler的安装与配置

访问官方网站下载最新版本的Fiddler软件。

安装完成后，双击启动程序，默认配置即可使用。

为了确保能够捕获HTTPS通信内容，我们需要对Fiddler进行一些额外配置。

打开菜单栏中的“Tools”，选择“Options”，在弹出的选项窗口中切换到“HTTPS”选项卡。

勾选“Decrypt HTTPS traffic”选项，并保存设置。

这样，Fiddler就能够解密HTTPS流量并显示在会话列表中。

四、使用Fiddler进行HTTPS调试

1. 监控网络请求与响应

启动Fiddler后，它会显示一个会话列表，其中包含了计算机上所有经过的HTTP和HTTPS请求。

我们可以查看每个请求的详细信息，包括请求方法、URL、响应状态码、响应内容等。

这对于分析网络性能问题、查找潜在的安全风险非常有帮助。

2. 分析网络请求

通过Fiddler捕获的HTTPS请求会进行解密并展示在会话列表中。

我们可以右键点击某个会话，选择“Inspect”进行更详细的分析。

在这个界面中，我们可以查看请求的头部信息、响应头、响应内容等。

还可以修改请求并重新发送，以便模拟各种网络环境或测试特定的行为。

这对于开发和测试阶段的调试非常有用。

3. 过滤网络流量

在复杂的网络环境中，我们可能只需要关注特定的网络请求。

这时，可以使用Fiddler的过滤功能来简化分析过程。

在菜单栏中选择“Filters”，可以设定各种过滤条件来筛选特定的请求和响应。

这对于专注于特定的安全问题或性能瓶颈非常有帮助。

五、探索Fiddler的高级功能

除了基本的监控和分析功能外，Fiddler还提供了许多高级功能来帮助开发者进行网络安全调试。以下是一些值得探索的高级功能：

1. 使用插件扩展功能

Fiddler支持各种插件扩展，开发者可以根据自己的需求安装插件来增强功能。

例如，安装证书插件可以方便地管理HTTPS证书，安装性能分析插件可以对网络性能进行深度分析。

这些插件极大地丰富了Fiddler的功能，提高了开发者的效率。

2. 自动化脚本编写

通过编写Fiddler的自动化脚本，我们可以实现自动化测试和监控网络请求的功能。

这对于重复性较高的任务非常有帮助，可以大大提高工作效率。

通过脚本还可以实现一些特殊功能，如模拟攻击场景、自动化分析安全漏洞等。

这对于网络安全测试和渗透测试非常有用。

六、总结与总结点：提升网络安全调试效率的利器——掌握并使用好Fiddler工具是关键之一 本文通过详细的介绍和使用案例指导大家了解了如何利用Fiddler进行HTTPS安全调试以及其强大的监控与分析能力有效提升网络安全调试效率需要开发者和安全从业者不断学习实践和积累丰富经验并结合个人工作需要掌握好相应的网络安全技术与此同时不断提升个人专业素养和行业认知水平才能在日益严峻的网络安全环境中发挥最大的作用以保护用户的利益和企业数据安全需求者的福音：利用HTTPS安全调试利器——Fiddler提升工作效率在当今网络安全形势日益严峻的背景下掌握一款强大的安全调试工具对于开发者来说至关重要本文详细介绍了如何使用和探索Fiddler这一HTTPS安全调试必备工具通过安装配置使用步骤以及高级功能的探索帮助读者更好地理解和应用这一利器从而更好地提升网络安全调试效率确保用户数据安全本文旨在为开发者提供有价值的参考信息以便更好地应对网络安全挑战提升工作效率为行业的繁荣发展做出贡献感谢您的阅读希望对您有所帮助！如果您有任何疑问或建议请随时与我们联系我们将竭诚为您服务！

---

如何用FIDDLER2直接调试线上页面的JavaScript和CSS

一个典型的工作场景是：线上的某个页面出现了bugs，需要紧急修复。

这时候有个简单的传统做法是，将问题页面另存为本地html文件，然后疯狂的寻找并修复bugs，等弄好了，再将修改后的js和css上传到线上并检查校验bugs是否已修正。

上面的方法，对于简单页面，是够用的。

但是对于稍微复杂的页面，IE的另存为经常不保真，如果页面中涉及Ajax等bugs，保存到本地更是难以调试。

这时有个很自然的做法是，将开发环境Run起来，当时怎么开发的，现在就怎么调试。

这样做肯定能解决问题，但要调动很多资源，后台开发工程师、前台开发工程师等等都要参与。

对于小团队来说，也许是可行的，对于大团队来说，如此大动干戈，除非到了最后，是不会这样做的。

那我们应该怎么做呢？先来看一个工具： Web开发中有个大名鼎鼎的工具：Fiddler. Fiddler是一个http调试代理，它能够记录你电脑和互联网之间的所有http通讯。

Fiddler可以让你检查所有的http通讯，设置断点，以及Fiddle（Fiddle的英文意思是胡乱修改，很幽默的表达Fiddler的用途）所有“进出”的数据（指cookie,html,js,css等数据）。

嘿嘿，是否从上面的介绍中嗅探到了某种解决方案？Fiddler可以让我们Fiddle所有”进出“的数据！我们要调试线上页面的bugs时，可以先分析是什么文件引起的，找出这些嫌疑文件，下载到本地，然后利用Fiddler将线上的请求Fiddle到本地的对应文件。

这样我们就可以随心所欲的修改这些嫌疑文件了，直接刷新线上的页面就可以看到效果，烦人的环境问题根本就不用考虑，而且一切都是高保真的。

上面说的是思路，下面我会举个例子来说明。

举例子之前，请先安装Fiddler（怎么下载安装就不多了，一路Next）。

安装好后，在IE的工具条上会出现Fiddler2图标，点击启动Fiddler. 启动后，通过IE访问任何网站时，所有http进出数据都会在Fiddler上显示出来。

但是等等，怎么老说IE呢？虽然在IE上能通过IE Developer Toolbar和来调试CSS和JS，但被firebug宠坏了的我们，总期望着Firefox上能搞定的问题绝不通过IE去调试。

为了我们的美好期望，根据Fiddler的官方说明，我们只要简单的进行以下操作即可： 首先将要调试的文件下载到本地，启动Fiddler，在AutoResponder栏勾选启用，并添加替换规则： 如上图添加两条规则后，刷新页面，上面两个js文件就从本地获取了，嘿嘿。

接下来，用喜欢的文本编辑器尽情的调试吧，就像当初开发时一样。

等把bugs解决了，压缩并上传相应的js文件，并通知后台开发者修改vm中js文件的时间戳，然后等着发布就行。

CSS也是一样的调试，不赘述。

在firefox、Safari、Opera中的的使用方法类似，不多说。

其它和前端开发调试密切相关的技巧： 2.使用DIFF比较http包的统计数据； 3.使用Filter过滤信息。

比如禁用JS, 设置断点等等。

4.使用bpu + Inspectors动态修改Response. 比如修改页面中的JS代码片段等等，非常有用。

5.使用Request Buidler测试请求。

可以很方便的测试ajax代码（可惜不支持断点）。

6.使用Statistics + Timeline + neXpert查看性能等统计数据，可以分析网页加载慢的原因。

7.使用CustomRules, 自定义配置和命令等。

比如修改var m_DisableCaching: boolean = false;的值为true, 就可以默认禁止缓存。

还可以自定义命令等等。

8.开发自己的扩展。

如何实现使用fiddler对手机https 进行抓包

配置fiddler, 允许远程连接打开fiddler, tools-> fiddler options 。

（配置完后记得要重启fiddler）.选中decrpt https traffic, fiddler就可以截获https请求选中allow remote computers to connect. 是允许别的机器把http/https请求发送到fiddler上来获取fiddler所在机器的ip地址这个简单吧。

我fidder所在的机器地址是: 192.168.1.104iphone上安装fiddler证书这一步是为了让fiddler能捕获https请求。

如果你只需要截获http请求， 可以忽略这一步1. 首先要知道fiddler所在的机器的ip地址：　假如我安装了fiddler的机器的ip地址是:192.168.1.1002. 打开iphone 的safari, 访问 ， 点fiddlerroot certificate 然后安装证书iphone上配置fiddler为代理打开iphone, 找到你的网络连接， 打开http代理， 输入fiddler所在机器的ip地址(比如:192.168.1.104) 以及fiddler的端口号8888大功告成，开始抓包现在iphone上的应用（比如safari, firefox, itunes, app store）发出的http/https都可以被fiddler获取。

如何使用Fiddler2模拟POST和Get提交数据

Fiddler工具是一个http协议调试代理工具,它可以帮助程序员测试或调试程序，辅助web开发。

Fiddler工具可以发送向服务端发送特定的HTTP请求以及接受服务器回应的请求和数据，是web调试的利器。

使用Fiddler也可以像Firefox浏览器中的RestClient工具一样，去调试post请求（带有json格式的数据）以及get请求（Header方式传参），方法如下：一、使用Fiddler调试post请求（带有json格式的数据） 1.打开Fiddler（可以去官网下载），打开Composer面板（此面板可以模拟向相应的服务器发送数据的过程），在Composer面板中，可以看到如下图的界面： Composer面板界面 2.在Composer面板中的第一个下拉框中选择Post请求方式。

3.填写请求的URL,比如：Headers中输入: Content-Type: application/json; charset=utf-8 Content-Length: 398 (也可以不输入) 5.在Request Body中输入json数据，比如： { “siteId”:”1571”, “learnTimeWeight”:30, “workWeight”:30, “testWeight”:30, “forumWeight”:30, “status”:1 } 6.点击Execute执行,若结果返回200表示操作成功！二、使用Fiddle调试get请求（Header方式传参）1.打开Fiddler（可以去官网下载），打开Composer面板（此面板可以模拟向相应的服务器发送数据的过程），在Composer面板中，可以看到如下图的界面： Composer面板界面 2.在Composer面板中的第一个下拉框中默认是get请求方式。

3.填写请求的URL,比如：Headers中输入:siteId: 这里写图片描述 5.在Request Body中不需要输入任何东西。

6.点击Execute执行,若结果返回200表示操作成功！