Fiddler HTTP/HTTPS прокси.
FiddlerHTTP/HTTPS прокси.
Все браузеры Все платформыВсе операционные системы
Поддерживаемые технологии
ФичиСниф всего HTTP/HTTPS
Плагинчики
Манипулирование запросами/ответамии создание новых
Декрипт HTTPS трафика с помощью MIM
Полезные плагинчикиCertMaker for iOS and AndroidИсправляет несовместимость некоторых устройств с сертификатом фидлера.
AnyWHEREВрет о текущем местоположении
XML DataSet InspectorРендерит XML с помощью табов и таблиц
Полезные плагинчикиWCF Binary-Encoded Message InspectorПозволяет рассматривать бинарно-закодированные WCF-сообщения в виде XML
XML Request InspectorКрасиво выводит XML-данные, отправленные POST-запросом
3 Syntax-Highlighting Add-Ons• Подсветка для HTML, CSS, JS, XML и прочей каки;• Редактор правил фидлера + подсветка
Что можно сделать с фидлером?
• Запустить• Закрыть
Презентацияокончена
Запросы/ответы Полезнота
Контекстное меню сессии
• Заблокировать хост• Скопировать или сохранить ссылку,
хидеры, контент или всю сессию• Или выкинуть сессию из списка• Попросить Fiddler выбрать
родительский запрос; дочерние запросы; или дублирующие запросы
• Если выбрано два запроса – то сравнить их
Вкладка “Inspectors”
Позволяет посмотреть headerы и контент в удобном виде.Сверху располагается запрос, снизу ответ сервера
Вкладка “Composer”
Позволяет создать запрос вручную.Можно перетянуть уже посланный запрос из списка слева, отредактировать его и послать заново
Вкладка “Filters”Позволяет фильтровать запросы. Например, если мы сейчас слушаем музыку в вк и пытаемся определить, чего посылает бедное приложение, то имеет смысл не показывать вк.
Для того, чтобы заблочить сайт полностью, нужно написать два паттерна:• *.vk.com• vk.com
Вкладка “AutoResponser”
С помощью этой вкладки можно настроить отдачу уже готового контента вместо ответов сервера.Галочка “enable automatic response” включает фичу, галочка “unmatched requests passthrough” позволяет запросам, не описанным в правилам идти в интернет.
Меню “Rules”
• Breakpoints• Мы можем зафорсить GZIP-упаковку или
убрать упаковки вообще (очень удобно в использовании вместе с AutoResponder)
• Зафорсить определенный UserAgent и посмотреть, что отдает сервер.
• Включить симуляцию скоростей уровня модема
• Выключить кеш
Меню “Tools”
• Переход к настройкам фидлера• Перейти к функциональности TextWizard –
преобразователя данных из одного формата в другой
• Переход к настройкам интернета для Win8-приложений
• Поверх DNS прописать новые соответствия доменного имени и айпи (например вместо vk.com -> google.com)
Тулбар
• Функционал Replay позволяет послать запрос еще раз. Если зажать Shift, вылезет попап с вопросом о количестве повторений
• Кнопочка “x” – очищает список запросов• Кнопочка “Go” – все запросы, которые стоят на бряке
продолжают выполнение
Тулбар
• Кнопка “Stream” – включает/выключает режим отдавать клиенту постепенно. Если кнопка выключена, то фидлер сначала полностью выкачивает ответ сервера (например, 20-мегабайтный файл) и только уже потом отдает браузеру
• Кнопочка “Decode” – для снятия GZIP и прочего.• “Keep: …“ – позволяет менять количество хранимых запросов
ответов. Рекомендуется либо выключать фидлер на ночь, либо поставить 1000.
Общий принцип работы HTTPS
HTTPS – это обычный HTTP, работающий через криптографические протоколы SSL и TLS.Используются алгоритмы асимметричного шифрования. У веб-сервера есть сертификат, который состоит из закрытого ключа (используется для зашифровки) и открытого ключа (используется для расшифровки)
Общий принцип работы HTTPS
• Клиент подключается к серверу• Сервер отправляет публичный ключ сертификата и
зашифрованное сообщение• Если клиент доверяет сертификату, то выполняется
процедура рукопожатия (handshake), во время которой клиент и сервер договаривается о сеансовых ключах• Весь последующий трафик происходит через
шифрование и расшифрование ключами клиента или сервера.
Декрипт HTTPS
Проблема HTTPS – метод проверки доверия сертификату. Для проверки используются центры сертификации, которые подтверждают, что сертификат действительно выдан этим центром сертификации.НО! Можно вручную установить сертификат на устройство и устройство будет ему полностью доверять.
Декрипт HTTPS• На устройство устанавливется сертификат прокси-
сервера• Весь трафик между устройством и сервером проходит
через прокси-сервер• Прокси-сервер договаривается с сервером о сеансовых
ключах• Прокси-сервер договаривается с клиентом о сеансовых
ключах• Прокси-сервер расшифровывает трафик от сервера,
шифрует своими ключами и отправляет клиенту (то же самое при передаче трафика от клиента к серверу)
Декрипт HTTPS
Топаем в Tools -> Fiddler Options -> HTTPS и выставляем галочки “Capture HTTPS CONNECTs” и “Decrypt HTTPS traffic”.Фидлер может предложить поставить сертификат на компьютер – сделайте это, но это будет работать только в пределах браузеров и нормальных приложений
Декрипт HTTPS
Переходим во вкладку “Connections” и выставляем все так, как на скрине.
Декрипт HTTPS
Возвращаемся на главное окно фидлера и вводимprefs set fiddler.network.proxy.registrationhostname {HostName}Вместо {HostName} подставьте имя компьютера. Перезапускаем Fiddler. На самом деле этот шаг не обязателен, его можно пропустить
Декрипт HTTPS
Запускаем Fiddler, на устройстве в браузере открываем ссылку:
http://{HostName}:8888/FiddlerRoot.cer(вместо {HostName} можно просто подставить IP-адрес)
И устанавливаем сертификат. Теперь весь трафик на устройстве будет декриптоваться Fiddlerом
WP Emulator + Fiddler = ♡
Итак, нам нужно подружить Windows Phone Emulator и Fiddler. Первым делом нужно выключить эмулятор. Если вы запустите Fiddler после запуска эмулятора – ничего не заработает. А дальше каждый раз при запуске эмулятора устанавливаем в него сертификат Fiddlerа.Прокси-сервер прописывать не надо, Fiddler и так на вашем компе
Windows Store apps + Fiddler
Для того, чтобы подружить Windows Store приложения и Fiddler нужно нажать на кнопку и разрешить определенным приложениям гонять трафик через локальный компьютер.Для приложений, которые запущены в дебаге ничего делать не нужно