品牌型号：联想拯救者

系统：Windows 11

软件版本：Fiddler 4

现如今互联网时代，每天都会有数以亿计的数据包在光纤和无线信号中传输，这些数据包内包含了文字、图像、视频的二进制数据。而抓包技术，类似于网络世界中的数据侦探，可以使用Fiddler、WireShark等抓包工具将这些无形数据进行捕获、记录并转化为可供观测的数据流。那么，接下来我们就来讲讲Fiddler抓包步骤详解，Fiddler抓包怎么做安全测试。

一、Fiddler抓包步骤详解

Fiddler作为一款专业的网络抓包工具，使用场景非常多，无论是运维、开发、测试还是网络相关的学生，抓包都是一项必须要会的技能，下面就给大家演示一下Fiddler的抓包步骤：

1、打开Fiddler软件，因为Fiddler默认是不抓取HTTPS请求的，所以我们先在Fiddler菜单栏的Tools下找到Options选项，并打开Options界面下的HTTPS子标签页中选中Decrypt HTTPS traffic和Ingore server certificate errors两个选项，选中后会在桌面默认下载安装证书，直接点击同意即可。

2、然后打开浏览器，随便访问一个网址，观察Fiddler左侧就可以看到HTTP和HTTPS请求都被捕获到了。

3、到这里我们其实已经学会了最基础的抓包技术了。但是，通过上面的操作下来，我们发现访问某个具体的网址时，会抓取很多奇奇怪怪的未知请求，这么多的未知请求会干扰我们正常分析和判断。

4、好在Fiddler为我们提供了过滤器，例如，我们这会只想抓取我们浏览器请求百度的记录，别的记录我们都不需要。我们可以在Fiddler主面板的右侧找到Filters选项，并且在Filters过滤器面板中，点击Use Filters开启过滤器，然后设置Show only the following hosts（只显示接下来的主机），并在下方的文本域中输入主机域名。

5、当然设置完之后，不要忘记点击Changes not yet saved ，点了之后，会将当前的修改进行保存。最后我们只需要点击右侧的Actions下的Run Filterreset now立即启动当前修改过的过滤器。

6、接着我们只需要点击工具栏的叉号清空之前抓取的记录，然后访问浏览器即可进行测试，我们会发现无论访问什么网址，Fildder只会展示指定域名的捕获记录。

二、Fiddler抓包怎么做安全测试

在产品发布前的测试阶段，测试工程师们通常会针对功能、性能、安全、用户体验等多维度进行测试。那么如何用Fiddler做安全测试呢？下面就给大家介绍一下：

1、我们可以先抓取一条指定的链接，然后在Fiddler右侧的Inspectors下找到TextView，可以查看到请求的内容，能直接检查到该链接下是否存在密码、Token、信用卡号等敏感信息以明文形式传输。

2、在电商App支付测试的时候，我们会使用Fiddler捕获支付请求，并修改字段为负值或者最大值，拦截服务器响应并修改状态，强制模拟支付失败的场景。然后观察订单状态是否异常，验证服务器段是否有对关键参数进行二次校验。

3、除此之外，我们还可以借助Fiddler模拟SQL注入，观察响应码是否异常。再或者也可以在评论或者搜索等输入框中，输入alert函数检查响应内容是否直接回显攻击代码。也可以在Fiddler中的CustomRules.js中修改m_SimulateModem参数，修改上行、下行速度，模拟2G网络，测试产品在弱网环境下对网络抖动的容错能力。

通过上述的这些案例，Fiddler能够系统性地发现应用层安全漏洞，帮助测试人员构建安全防护体系。

以上就是Fiddler抓包步骤详解，Fiddler抓包怎么做安全测试的全部内容了。抓包工具可以将无形的数据捕获，转化成我们可观测的数据，也就是数据的可视化分析，是每个开发和测试人员都必须要会的技能。在产品上线前抓包的安全测试也非常重要，尤其是在支付交易过程中，如果有问题会出现重大的损失，必须提前做好测试。