我自己常用的抓包工具

4月份,看到淘宝上的抢单链接,专门抢拍品优惠券,比如读书日的当当网打完折后满200-100的券,一共有100张,但是普通用户单独存粹地在页面点,压根儿抢不到;

 

基于此,开始抓包分析,

初步猜测是:一个带有商品的http请求直接生成一个订单号,

请求要能正确,必须带有个人登录标识,token之类信息;

必须带有商品信息,商品编码;

 

 

带着这样的想法,有空的时候尝试了很多抓包工具;

 

Badboy以前就用过,支持windows上对PC web页面抓包还不错;但后来电脑升级到win10,总是失败了,弹出的alert框始终不能清除掉,脚本也没有办法保存了

 

BlazeMeter: 带有firefox和Chrome的插件,要开代理用;不是太好用,不能对所有页面抓包

 

Jmeter录制:http/https都能够抓包,对手机app,微信小程序也能抓包;PS 有一些框架TSL貌似就不支持珠宝,比如对微信聊天信息抓包,都是乱的; jmeter生成的证书7天有效,之后需要重新生成,ssl重新同意一下

 

Charles 由于MAC安装Fidder不方便,就安装了Charles,自己也没有去寻找破解版,Charles试用版会在每30分钟后重启,几分钟出个页面delay一下,我觉得完全不影响使用。用久了觉得这个还不错,Charles抓手机APP只要在手机上安装charles证书即可。而且Charles能将请求分类。

 

 

Fidder

 

 

BurpSuite  下载来试用版,试用过。印象不深。

 

WireShark  貌似一种免费版不能抓请求,专业版收费才能看到具体http/https请求。

 

 

 

个人觉得Jmeter比较容易上手,而且会将各种请求头都以http header manager保存下来,可以看到请求的顺序,和返回。

Charles也很好用,可以在breakpoint模式下直接在抓包的过程中篡改数据。

而且这两款支持windows,mac

 

 

简单的东西上手,容易成功,容易获得成就感。

兴趣是最好的老师。

posted @ 2018-08-11 14:50  巴黎爱工作  阅读(2059)  评论(0编辑  收藏  举报