HTTPリクエスト改変ツール「Fildder」が超便利
2020年06月13日
Fiddler
会社でHTTPリクエストを改ざんして送る試験を行った。
その際に使用したツールがめっちゃ便利だったので、
備忘録を踏まえて投稿。
会社でHTTPリクエストを改ざんして送る試験を行った。
その際に使用したツールがめっちゃ便利だったので、
備忘録を踏まえて投稿。
23:02 2020/06/10現在
Googleの「Fiddler」検索結果が約 16,800,000 件。
わざわざ投稿する必要もないのかもしれないけど、
そこは備忘録としてがんばる。
まずはダウンロード→インストール。
Fiddler2とFiddler4があるけど、使用する.netのバージョンが違うだけで
動作は同じようなのでどちらでもOK。
このあたりを参考に実施。
http://shibe23.hatenablog.com/entry/2016/05/23/003929
まずはアプリを起動したら、画面の下側に注目。
左下の「capturing」は、キャプチャー中を表す。F12で有無の切り替えが可能。
Filterの設定をしていると、キャプチャー中にBreakPointで勝手に止まる。
試験で使うときは、POSTやGETを改変するので、
右側のFIlters > BreakPointsの以下項目にチェック。
・Break request on POST
・Break request on GET with query string
今回は、XMLは利用しないので上記2つだけ。
HTTP通信はこれでいけるけど、HTTPSは、Fiddlerが暗号化されたテキストを
復号化できないのでモニターも改変もできず。
HTTPSでキャプチャした通信のInspectors を選択すると、
[HTTPS decyption is disabled , Click to configure...]って出てる。
https://www.it-swarm.dev/ja/ssl/fiddler%E3%81%8C%E3%82%A4%E3%83%B3%E3%82%B9%E3%83%88%E3%83%BC%E3%83%AB%E3%81%99%E3%82%8B%E3%83%AB%E3%83%BC%E3%83%88ca%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%82%92%E3%81%A9%E3%81%AE%E3%82%88%E3%81%86%E3%81%AB%E5%89%8A%E9%99%A4%E3%81%97%E3%81%BE%E3%81%99%E3%81%8B/1073513713/
Fiddlerのルート証明書をインストールすることで、
ブラウザとFiddler、FiddlerとSVでHTTPS通信を確立できる。
上記のとおり、使い終わったら消すこと。
(証明書の削除は、Options > HTTPS > Actionsの中に隠れてる)
ここからが本題。
画面を切り替えながらHTTPのパラメータを変更して送信する作業を繰り返すため、
操作に卓越しないと時間ばっかり食ってしゃーない。
フィルタ設定した状態でキャプチャー開始。
左ペインのテキストをクリックし、Endキーを押下すると、一番下の電文がフォーカスされる。
ブレイク設定しているのであれば、通常はリクエストで止まっているので、
右ペインのInspectors > WebForms からパラメータの改変を行うことができる。
パラメータ改変後、Alt+C で「Run to Completion」ボタンが実行される。
パラメータには日本語も使用できるので、
よく使用するパラメータは辞書登録しておくのがおすすめ。
ブログを書いてて気づいたこと。
右ペインの下半分のタブの中に「WebView」ってのがある。
クリックすると、画像なしではあるが、ページ内容が表示されるではないか!
試験エビデンス収集用としても活躍しそうな予感。
まとめ
1.サーバーエンジニアにとって、Fildderは超便利ツール
2.EndキーやAlt+C、辞書登録を活用して試験効率アップ
3.WebViewを使えば、どの画面でどのパラメータを使うかよくわかる。
PR
Comment