Fiddler不仅是一款专业的抓包工具,还是一款安全性测试工具。
大家不仅使用Fiddler来抓包还可用来拦截包、修改数据包参数、模拟用户端向服务器发送http或者https请求又或者用做代理机直接发送请求数据包给服务器。
今天咱们重点讲解如何使用Fiddler实现越权访问登录成功后的页面(接口安全性测试)。
要实现越权访问登录后的系统页面,主要掌握以下六个步骤。
第一步:下载安装Fiddler工具
桌面图标如下图:
第二步:配置好Fiddler工具https协议请求,导出证书,并设置证书为受信任的证书,方可抓取https协议的数据包。
图一:
图二:导出证书:
图三捕获Https请求:
第三步:捕获登录请求
第四步:设置断点
用户进行登录
第五步:取消断点
第六步:应用Fiddler组合器执行越权请求
1、输入越权URL地址
2、选择请求方法:Get
3、复制越权Cookie在文本框中,信息如下图所示:
4、执行越权请求
第七步:验证越权访问登录后的页面成功。
领取专属 10元无门槛券
私享最新 技术干货