测试过程中如何利用fiddler更改请求和响应
一. fiddler改发送的请求的内容。安全测试后端改代码后,如果只是单纯模拟变化的请求是出不来效果的,因为不是同一session的原因,所以要用fiddler直接抓包然后改本请求,具体做法如下:
- 打开fiddler先找到需要修改的请求:
2.执行结果:
说明增加权限校验没有问题了。
二. 利用fiddler修改响应。
- 问题描述
企业端的忘记密码在测试过程中发现,网站利用短信重置密码,如果服务器端并未进行严格校验,会导致任意用户密码重置。
具体方法:
验证码处输入任意字符,点击下一步,抓取数据包返回值。修改数据包将“code”值修改为“0”。再次发送数据包。
前端发送的请求:
URL:http://test4.ccbscf.com/api/web/corp/v1/users/persons/forget/password/verify?t=0.5842474690269377
随机输四位验证码的响应:
这是后端返回code=04001015,验证不过去,所以我们可以改这个请求的返回值。将code改为0.
具体方法:
- 打开fiddler抓到上面的请求 选中AutoResponder
Rule editor:
因为请求的url中t的值是实时变化的,所以需要模糊匹配,同时把t这个参数删掉
Regex:http://test4.ccbscf.com/api/web/corp/v1/users/persons/forget/password/verify
点击test测试请求的url是我们需要的。
Rule Editor: create new response
点击save 后将code=0的响应写textviewer里
随机输4个数字后可以成功进到下一步。