今天Kitty主要與大家分享Fiddler抓包工具與協議捕獲編輯工具來與大家講解Session欺騙原理過程，咱們主要通過Fiddller協議捕獲工具來對比HTTPWatch兩款工具之間的差別，最主要的是我們可以通過捕獲到的請求進行二次編輯重新發送給服務器，這中間我們做了一個請求的截獲，這樣就能夠通過人工的方式改變捕獲的接口請求本身，通過前端的界面拼裝好默認的標準，按照自己的想法來組裝請求，這樣就能夠發現客戶端的一些潛在的問題。

當然,我們也可以通過請求的編輯，編輯sessionID或者cookie信息發送給服務器，甚至可以達到繞開瀏覽器界面的驗證，從而達到欺騙服務器的目的。

咱們今天主要通過Fiddler工具來進行講解，Fiddler這個工具可以搞定，大家也可以使用其它的編程語言開發一個能夠發送HTTP請求的代碼，同樣我們也可以達到與服務器進行交互的目的，客戶端要發送什么請求都可以自己來定義，這樣我用編程語言來搞定，然后通過加入可選的不同的數據輸入，這樣就能夠達到自動化測試的目的，并且通過代碼自動化來獲取我特征庫里面的值，這個實現原理就是我們現在很多安全性測試掃描工具的實現的基本原理。

就是將數據包組裝好發送給服務器，來分析服務器的響應，根據服務器的響應的內容來提取一些有含量的值來判斷，這個服務器是否存在安全性漏洞，安全性掃描工具都是基于這個原理來實現的，至于拼裝什么樣的數據包，取決于工具本身特征庫的認定。

通過這些工具主要幫助大家鞏固之前所學的知識，另外我們需要進入更深層面技術方面的學習，我們不能一直停留在簡單層次的學習，這樣提升起來會比較慢，我們需要逐漸深入底層逐漸的進入到更深的技術層面。

Fiddler的安裝過程自己網上自行下載安裝即可，在本次課程就不詳細講解，安裝過程一路下一步完成即可，安裝完成之后大家注意不同的Fiddler版本需要安裝Fiddler的證書，為什么要安裝證書呢？因為我們平時測試的項目不僅是針對于HTTP協議來抓包分析，還有HTTPS協議的相關包也就是HTTP協議的加密過程，需要安裝秘鑰才能正常抓取HTTPS的包。

安裝完成之后就可以直接打開Fiddler進行抓包，在File上勾選Capture Traffic,因為只有勾選這個才能監控瀏覽器的數據包，然后大家可以打開任意一個瀏覽器進行抓包，Fiddler就能監控到請求。

接下來將捕獲用戶的請求，對請求進行編輯并發布，修改請求的參數并選擇執行，就會生成一個新的請求，從而達到向服務發送請求的目的，分析相應返回的數據。

大家可以編輯捕獲到的請求修改內容向服務器發送請求，服務器將發送的請求進行響應，那如果說我可以獲取到別人的sessionID，我就可以將sessionID放在cookie中發送給服務器，服務器看到我是登錄狀態，我就直接可以繞開登錄界面，直接進入登錄狀態，這樣就達到了欺騙服務器的目的。

例如：如果我復制一個假的證件給服務器，服務器并不知道，只能認為是同一個人，這樣就完全可以獲取到持有證件人的所有登錄信息，從而達到欺騙服務器的目的。

當然除了使用Fiddler工具來獲取項目的協議數據，自己可以通過編程語言代碼編寫一些接口來獲取接口的權限驗證相關信息，從而使用Fiddler來修改協議數據包，達到欺騙服務器的目的。

Fiddler不僅僅是一款抓包工具，同樣也可以用來捕獲協議并且對協議進行修改從而達到欺騙服務器的目的，也可以當做一款安全性測試的工具，現在市場上所使用的安全性掃描工具也是基于Fiddler抓包工具的原理來實現的，Fiddler除了可以用來抓PC端的HTTP或者HTTPS的包，還可以抓取移動端網頁的數據包，在今天這堂課程我們就不做過多講解。

如果想抓移動端的包，一定要勾選遠程連接的一些選擇項，一定要確認本機的網絡與手機在同一個wifi下才能正常抓包。

那HTTPWatch也是一款抓包工具，這款工具更多時候用做抓包分析，當然Fiddler同樣能夠達到接口測試的目的，所以大家只需要掌握一款核心工具即可，學習工具更重要的是傾向于原理的學習，無論一款工具做得多么強大，我們的目標僅僅是抓包，只要能夠滿足日常工作需要即可。

綜上所述，今天主要對Fiddler這款協議捕獲工具的抓包包原來及Session欺騙的原理過程與大家進入深入的講解，希望大家通過今天的學習能夠讓自己的知識面提升到一定的層面，后期更多干貨內容敬請期待。

總結

以上是生活随笔為你收集整理的修改数据包欺骗服务器,Fiddler协议捕获编辑工具与Session欺骗原理详解的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。