never too old to learn
一、背景介绍 实际的软件测试和开发中,经常会遇到一个get或post请求需要重定向以达到调试的效果,苦恼了几天后,今天百度谷歌了一下,找到了答案。 二、实现过程 例如,我们想让https://peloo.net/?p=1070在站内重定向访问https://peloo.net/?p=1018,我在实际工作中就遇到类似的问题,下面演示过程。 1、过滤此站点的会话,设置如下图, 访问https://peloo.net/?p=1070,如下图, 访问https://peloo.net/?p=1018,如下图, 我们看到,两个网址的内容不一致。 2、按ALT + Q,输入 urlreplace p=1070 p=1018后回车。 3、在谷歌浏览器访问 https://peloo.net/?p=1070 ,成功重定向到 https://peloo.net/?p=1018 网址的内容,如下图,
一、背景介绍 一直用Fiddler抓取Chrome浏览器的HTTP包,因为不用任何设置就可以。于是有个疑问,如果一些应用只能在Firefox浏览器上才能运行或者在Firefox浏览器表现的效果较好,那怎么调试? bing了下找出了答案。 二、实现过程 1 设置Firefox代理 打开Firefox的选项–常规–网络代理–设置,选择“手动代理配置”,所填参数如下图, 其他版本的Firefox请举一反三。 2 设置fiddler代理 fiddler的代理主要是配置一个和本地不冲突的端口来监听外来请求。 设置好以后,可以用别的机器,亦可以本地联网经过fiddler代理,配置好后的fiddler抓包如下(远程抓包),
APP实际测试中接口兼容性测试,经常会用上个版本的APP包来测试新开发的接口是不是也可正常运行, 经常在一个手机上安装卸载新旧APP包,麻烦, 域名重定向可以帮你减轻重复劳动。 比如你要验证生产环境的APP包是否可以在测试环境的新接口上运行正常,可以在设置好手机代理后,对fiddler进行如下设置, 打开tools—HOSTS,勾选域名重定向,第一个填写请求重定向后的域名或IP地址,第二个填写原始请求的域名或IP地址
最近研究fiddler菜单无意中发现,居然可以导出会话并生成curl脚本,curl脚本可以在Linux下执行,对远程定位接口问题很有帮助。 在fiddler界面,依次点击edit–export sessions–selected sessions,选择curl即可, 导出的内容如下, curl -k -i –raw -o 0.dat -X POST -d "username=123456&password=123456&oauth_token=bbffb757381df45f118a2c286ac01abb31a01fa16acd6f3df6b640a373aa5db03acce5cfb5443ad9a516c1b8e3ab8c49&denyCallbackURL=http%%3A%%2F%%2Fwww.yy.com%%2Flogin%%2FudbCallback%%3Fcancel%%3D1&UIStyle=xelogin&appid=5719&mxc=&vk=&isRemMe=0&mmc=&vv=" "https://lgn.yy.com/lgn/oauth/x2/s/login_asyn.do" -H "Host: lgn.yy.com" -H "Connection: keep-alive" -H "Accept: */*" -H "Origin: https://lgn.yy.com" -H "X-Requested-With: XMLHttpRequest" -H "User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.99 Safari/537.36" -H "Content-Type: application/x-www-form-urlencoded; charset=UTF-8" -H "Referer: https://lgn.yy.com/lgn/oauth/authorize.do?oauth_token=bbffb757381df45f118a2c286ac01abb31a01fa16acd6f3df6b640a373aa5db03acce5cfb5443ad9a516c1b8e3ab8c49&denyCallbackURL=http://www.yy.com/login/udbCallback?cancel=1&cssid=5719®CallbackURL=/login/udbCallback&UIStyle=xelogin&rdm=0.5864189190174589" -H…
对于多数网站后端处理来说,重复提交的问题很常见,程序员也经常忽略或懒得修改重复提交的问题。但是对于关键业务来说,解决重复提交的问题就非常有必要。去年公司的Java服务因为没有做并发控制,导致30万元左右的财务损失,虽然只追究了开发人员的责任,但是作为测试人员,着实为自己的水平低下蒙羞。 下面我们说说如何用fiddler工具模拟重复提交。 我们就以登录yy网站为例子 下图是我设置浏览器使用fiddler代理后抓到的yy登录的会话 图中可以看出,数据包到达的目的主机是lgn.yy.com 1 先在fiddler界面按“alt + q”键输入“bpu lgn.yy.com”截断发往此主机的数据包,Ctrl + a 全选会话并删除 2 在yy登录界面输入用户名和密码点击确定 3 此时fiddler界面出现一个被拦截的红色标记的会话,选中此会话,按键盘“shift + r”键,输入要复制的会话数,例如9个,全选这十个会话再点击“GO”放行数据包到服务器,即可重复发包。 很显然,yy网站对重复提交做了控制。 这里只是10次重复提交,如果这个业务是送积分或代金券的,一次提交成千上万次,结果可想而知。 笔者就遇到过这种重复提交的漏洞,结果一般是数据库产生多条重复的数据,而且用fiddler可以直接绕过前端,直接对后端进行攻击。