對於想抓取HTTPS的測試初學者來說,常用的工具就是fiddler,可是在初學時,大家對於fiddler如何抓取HTTPS真是傷了腦筋,可能你一步步按著網上的帖子成功了,那當然是極好的,有可能沒有成功,這時候你就很抓狂了,我把網路上的教程進行了整合和一些我的安裝經驗(其中注意事項及10、11步驟)。
下面為大家演示如何用fiddler抓取HTTPS的詳細教程。如若失敗,請先仔細檢查,避免錯過細節!可重新重試!
已安裝fiddler使用者:
1.清除C:\Users\Administrator\AppData\Roaming\Microsoft\Crypto\RSA 目錄下所有檔案(首次安裝fiddler請忽略)
3.清除瀏覽器上的證書檔案 ,此處需要仔細查詢帶有FiddlerRoot的字樣,並刪除,以谷歌瀏覽器為例說明,在瀏覽器上輸入: chrome://settings/,(首次安裝fiddler請忽略)4.開啟fiddler,點選工具欄中的Tools—>Options,點選Actions,選擇最後一項,Reset All certificates,然後關閉注意:以上步驟假設是已經安裝fiddler的情況下需要做的處理 ,若已安裝,建議執行上述步驟,然後進行重新安裝;
首次安裝fiddler使用者及完成上述步驟已安裝使用者:請先退出防毒軟體!!!1.下載最新版fiddler ,強烈建議在官網下載:https://www.telerik.com/download/fiddler2. 正常傻瓜式安裝,下一步,下一步,安裝完畢後,先不用急於開啟軟體。3.下載並安裝Fiddler證書生成器:http://www.telerik.com/docs/default-source/fiddler/addons/fiddlercertmaker.exe?sfvrsn=24.開啟Fiddler,點選工具欄中的Tools—>Options6.點選Actions,點選第二項:Export Root Certificate to Desktop,這時候桌面上會出現證書FiddlerRoot.cer檔案,點選OK設定成功,關閉fiddler8.在受信任的根證書頒發機構,對證書進行匯入9.重新開啟fiddler,就可以在電腦上進行https抓包了。如果不成功請看11步驟。10.如果抓取的包都是錯誤的,需要注意把下面這幾個反勾選掉。Autoresponder—enable rules
11.配置瀏覽器
firefox安全連結提示出現這個「您的連線並不安全」那麼很多的使用者說可以透過配置Firefox瀏覽器配置即可,但是根據測試發現這個方法行不通!
透過配置Firefox瀏覽器進入firefox配置可以透過在firefox瀏覽器位址列中輸入 「about:config」進入
修改配置項在「搜尋」欄輸入 「security.enterprise_roots.enabled」找到對應的配置項
透過雙擊或右鍵選擇選單項「切換」即可將 「值」對應的欄位值設定為 「true」
再次訪問網路以驗證是否可行咦!還是不行哦!不過透過以上配置這次訪問網路時它比沒有配置之前多了一個提示!看到沒有?
「此網站採用了 HTTP 嚴格傳輸安全(HSTS)機制,要求 Firefox 只能與其建立安全連線。正因如此,您也不能將此證書加入例外列表。」
, 也就是說當前訪問的站點是使用 「HTTP嚴格傳輸安全協議」也就是「https傳輸協議」, 那既然是這樣, 當訪問 「http傳輸協議」的站點也就沒有問題嘍!對就是這樣, 那不防找一個「http傳輸協議」的站點試試!
可以看到當訪問 「菜鳥教程」這個站點時一點問題沒有!那既然訪問傳輸協議為 「https」的站點時會有這樣的提示:此網站採用了 HTTP 嚴格傳輸安全(HSTS)機制,要求 Firefox 只能與其建立安全連線。正因如此,您也不能將此證書加入例外列表。
那訪問時就必須透過這個協議進行訪問,並且firefox也不允許新增站點例外的方式進行訪問, 那問題的關鍵就在於「fiddler」這個代理在訪問以 「https傳輸協議」的站點時不被信任 那麼想辦法讓 「Firefox」瀏覽器在訪問以傳輸協議為 「https」被信任這個問題也就可以徹底解決啦!(先開啟fiddler,瀏覽器才能訪問網路!)
注意事項:
瀏覽器、fiddler配置好需要重新啟動,先啟動fiddler,再啟動瀏覽器;在配置瀏覽器代理及埠時注意勾選“為所有協議使用相同代理伺服器(s)”。