charles请求转发_Charles应用实践之篡改请求和响应

最新推荐文章于 2024-07-25 11:23:41 发布
原创 最新推荐文章于 2024-07-25 11:23:41 发布 · 928 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#charles请求转发

本文介绍了如何使用Charles工具进行HTTP请求的拦截、篡改和响应检查,以测试服务端校验和安全漏洞。通过设置断点,修改上传文件的请求参数,观察数据库中是否保存篡改后的数据,以此判断程序是否存在安全问题。同时,文章还提到了域名映射、弱网测试、请求过滤以及抓取移动端网络包的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

?如能帮到你,下方为我们点个 a2c0165b9a18846a064a747701f9b684.gif?推荐:干货,接口测试面试题

通常我们在测试过程中可以使用Charles拦截请求,篡改请求和响应,检查服务端是否有校验的情况;检查是否存在漏洞,就看拦截之后修改过的数据是否写进了数据库。

使用方法:

举例一:上传文件

1、先打开charles工具(如下图,第4个开放断点的按钮要打开)——然后去浏览器中输入我们要访问的地址——会发现charles中会出现浏览器中访问的地址(这个时候你在浏览器操作,charlse就会记录下来)

4b86b884d0602d465a27e8fc4465fb46.png

2、然后到你需要设置断点或拦截请求的页面后——在需要拦截请求的那一步操作之前(比如上传一个材料的操作,先点击上传材料按钮,然后就去抓包工具里面打断点),给访问地址文件夹设置断点(右键--Breakpoints,不要对具体的某个请求设置断点,而是整个访问地址文件夹)

3、如果只是拦截请求,就回到浏览器中去刷新下——会发现charles中这个地址前面变红,无论浏览器中做什么操作,charles中都不改变,并且浏览器中会一直转圈圈,访问不了

4、如果需要拦截请求并篡改请求,跳过第3步,(步骤:打开charles——浏览器访问网页——访问到网页中需要拦截的那一步——charles打断点——浏览器中进行操作(比如上传某个文件)——回到charles进行篡改)

4.1、在浏览器页面操作上传文件,比如1.txt

692b99588092a7d33d7f8d8911498d7b.png

4.2、然后会自动跳转到或手动打开charles断点操作页面Breakpoints的概述,右侧会出现Edit Request的编辑框——点击Edit Request

f5a69cc578b1cf914f82e342cd32f673.png

4.3、点击Text,对上传的文件进行修改,比如改成1.asp这个文件

06459f2d3345b4bec170b9582d0cc23f.png

4.4、点击1次execute,进入到Edit Response页面中,点击JSON Text可以查看到,刚刚我们修改过的文件后缀已经变成了asp这个后缀

0e24bb76eb3e951dbe656dacd31a1e49.png

4.5、再次点击Execute,再回到网页上去看,刚刚上传的1.txt是否变成了你修改过后的名字,并且去看下数据库里面是否有插入一条你修改过后的数据,如果有,则表示请求被篡改了,需要修改

909f62753dce63a07a6f251994ad1bd9.png

其实4.4的步骤中已经看到上传.asp这个文件的情况了,展示的情况就是数据库里面展示的文件名之类的,大家可以去数据库,也可以去附件存储路径里面能查到.asp文件

5、如果需要拦截请求并篡改响应:跳过第3步,直接在页面操作上传文件1.txt,然后会自动跳转到或手动打开charles断点操作页面Breakpoints的概述,右侧会出现Edit Request的编辑框——直接点击Execute——会出现Edit Reponse——找到响应中的JSON Text输出结果,进行修改,点击Execute,浏览器是会输出篡改后的请求,数据库里面是篡改之前的,这个是正常的情况,(感觉这个篡改响应没什么用)

总结:看这个程序有没有问题,就看数据库到底有没有入库

如果篡改请求后,得到的响应结果和实际结果不一致,则表示是有问题的

举例二:检查密码是否密文传输,在Edit Request的Text里面可以看到是否加密处理了

7cbe9eaedaee84b1c40aae0a1edc9af9.png

1、域名映射

请求地址a会快速到达请求地址b上,一般是为了快速把请求转发到另外一个环境上,比如正式环境的接口和测试环境的接口不一样时,测试环境测试通过之后需要用到正式环境的接口去进行测试,开发重新打包比较浪费时间,可以采用这种域名映射

使用方法:

Tools——Map Remote——勾选Enable Map Remote——Add添加后,输入from的域名,和to的域名,如果必要要写请求协议,点击OK再去访问from的域名会发现,访问的是a的地址,但是页面是b的页面

注意:访问完成之后,Enable Map Remote前面的勾选框一定要去掉,不要勾选

fe2834bd039bc5921237a513a7a9a696.png

2、弱网测试

使用方法:

Proxy--Throttle Settings--勾选--设置弱网测试

f59192abeedf1a84bab9ac8bb75d8609.png

3、过滤请求

只想看你想看的域名,就可以设置包括include的内容

使用方法:

Proxy——Recording Settings——Include——域名输入*sss*,一定要加通配符——网页中只要域名中包含sss的,在charles中都能抓到

4、抓手机的包

通过配置后,手机访问浏览器,charles工具也可以抓到信息

使用方法:

①、确定手机和电脑在同一个局域网,能互相ping通(charles中Help--Local Ip Address查看)

②、手机在连wifi的地方设置代理,配置代理改为手动--服务器ip连1中查看到的ip,端口默认是8888,点击右上角的存储--charles中会弹框说是否允许--允许后手机端访问浏览器,抓包工具中就会出现抓包信息

———————  End  ———————

人员招聘 / 岗位内推:

请加微信 1327239410 或 QQ1327239410

行业交流 / 加入“软件测试高端人才”微信交流群:

请加群主微信 wycwyn0711 或 ninanboy

内容投稿:

请发邮箱 wangpinqing@testin.cn

a91384f8a362ff61279265bb3ab6420e.png

如能帮到你,为我们点个哦 a2c0165b9a18846a064a747701f9b684.gif

小喷壶
关注
charles请求转发_前后端如何通过Charles进行本地联调
weixin_28836875的博客
12-29 1039
一、名词解释A机:请求发起方电脑,如:前端同学的电脑B机:请求接收方电脑,如:后端同学的电脑二、操作步骤2、双方各自打开自己的Charles,3、B机打开Charles设置项Proxy > Proxy Settings,然后勾选Enable transparent HTTP proxying,此时B机的Charles监听的是默认的8888端口。4、A机打开Charles设置项Tools &g...
charles 端口转发的记录
shudan001的博客
09-20 598
端口转发 端口转发(Port forwarding),有时被叫做隧道,是安全壳(SSH) 为网络安全通信使用的一种方法。 端口转发转发一个网络端口从一个网络节点到另一个网络节点的行为,其使一个外部用户从外部经过一个被激活的NAT路由器到达一个在私有内部IP地址(局域网内部)上的一个端口。 端口转发使您能够将本地TCP或UDP端口透明地转发到远程主机端口。 所有在端口的请求回复可能会记录在查尔...
HTTP 请求报文的拦截与篡改
04-04
•HTTP代理实现请求报文的拦截与篡改9--实现篡改功能后的演示+源码下载 http://blog.csdn.net/duhai/article/details/22936979
Charles(1) 请求转发
郑清
12-23 3243
一、前言 本文将基于Charles进行请求转发,主要是将线上环境的api请求转发到本地方便开发进行测试 也可通过其它方式实现,ex: nginx配置引流测试 Charles下载地址: https://www.charlesproxy.com/download/ 二、请求转发 这里举例线上环境地址 http://www.zhengqingya.com 在线上访问数据之后,Charles中会记录api请求 在需要进行转发的api请求上右击选择Map Remote... 配置转发到本地的路径 然后再访
charles (青花瓷)工具使用,charles代理转发映射,拦截查看网络包(抓包),重定向浏览器的请求(远程映射),web开发自测接口
质量不太好的博客
05-13 1983
charles 工具使用,拦截查看网络包,重定向浏览器的请求,web开发自测接口
(七)Charles篡改请求(两种方式---BreakpointRewrite)
guozhuanchen的博客
04-30 1487
一、篡改请求之Breakpoint 1.抓取到的原请求 2.对上述请求设置breakpoint 3.设置Breakpoint 4.刷新 重新发送请求 5.运行到已经被设置断点的请求时,会被拦截住,此时,我们可以去改数据 6.查看响应数据,看看是否请求真正被篡改了 count变为了2,并且确实请求了2条数据 7.如果不需要断点时,记得关闭breakpoint 二、篡改请求之Rew...
TCP消息端口转发研究
春夜喜雨的专栏
10-14 890
端口转发需求 某些时间,我们期望把一个端口的消息转发给另外一个端口去:或是想实现内网的穿透,或是为了实现端口的动态绑定,也或是一些其它的需求。此时我们就需要端口转发的功能了。
测试工具Charles(十)—— 端口转发
卖女孩的小火柴
08-22 1010
端口转发(Port forwarding)是安全壳(SSH) 为网络安全通信使用的一种方法,有时也被称为隧道。 端口转发转发一个网络端口从一个网络节点到另一个网络节点的行为,其使一个外部用户从外部经过一个被激活的NAT路由器到达一个在私有内部IP地址(局域网内部)上的一个端口。 Edit Port Forwarding视图中的选项含义: Protocol:协议 Start port:开始端口 End port:结束端口 Remote host:远程主机 Remote port:远程端口 Listen
Charles拦截特定请求转发到本地进行调试
fxtxz2的专栏
07-25 815
Charles协助调试开发。Charles值得拥有,而且这个商家已经是一次性买断,而且,每个版本周期特别长。
charles 乱码_Charles安装与基本操作
weixin_39877581的博客
11-28 160
1.Charles是什么基于http协议的代理服务器,通过成为电脑或者浏览器的代理,然后截取请求请求结果达到分析抓包的目的。特点:跨平台、半免费(免费:启动后要等10s;每次只能运行半个小时,半个小时后自动重启)。2.Charles的工作原理前置步骤:1)需要运行Charles并配置代理2)在客户端上面需要配置代理具体步骤:1)由客户端发送请求2)Charles接收再发送给客户端3)服务端返回请...
使用fiddler篡改接口请求或返回的内容
白骨梦儿
09-06 9586
一、背景说明 篡改接口请求或返回的内容,会有什么影响?下面这些新闻,你或许有听说过。 因此,公司投入线上运营的产品中,涉及到与金额相关的流程,需要通过接口测试篡改请求返回内容,验证项目是否做了此类的安全校验,避免公司产生不必要的财产损失。 fiddler工具我们日常的比较多的是抓包功能,该文档主要是针对如何使用fiddler篡改接口请求返回内容的方法做出说明。 Fiddler篡改数...
charles 篡改请求响应
enemy_sprites的博客
11-26 1260
先说明一下,为啥要打断点? 直接上 比如 测试购物网站搞活动,商品购买最大数量为2,我们平常测试去手点,第二下就不让你点了,为啥,因为前端输入框有限制,它不让你购买数量大于二,但是就是这么倔强,我就想大于2,合计合计,咋整, 答案就是通过协议探测工具,抓接口,绕过前端限制,直接向服务器发请求,结果是否可行 咱们篡改一下试试 部署个电商 后台最低购买数咱们改成4 这啥意思,就是你正常通过前端你想...
如何使用charles代理转发请求
热门推荐
倾心静听的博客
12-18 3万+
1.安装charles,打开菜单Proxy 打开 Proxy Setting 这个配置,勾选 Enable transparent HTTP proxying 如下图所示,手机端直接代理设置成你的电脑ip(cmd里ipconfig可以看),端口用默认代理端口8888即可 2. 开启转发,菜单 Tools中的Mapping Romote 选项,添加转发映射 如下图,如果您
抓包工具Fiddler篡改请求响应报文
青云小轩
12-26 2581
简介 客户端服务器通信发送报文进行通讯,但这些报文可以被截获修改进行一些攻击。对于web端app都可以查看源码判断解密算法,并且大部分情况下都可以伪造响应报文,尤其是未加密签名的报文。对于RSA加密报文可以利用之前获取成功报文,直接返回给特殊功能进行绕过攻击。例如截获新增用户成功响应的报文【可以是加密后的报文】,在验证短信界面直接截获返回成功响应的报文给验证短信界面。如果客户端未采取包顺序标...
Charles 断点拦截、篡改请求响应
一个混错圈儿的小测试
03-03 5139
Charles 篡改请求响应
Web安全 【基础】 请求篡改唯一请求(重放攻击)
言小溪 的博客
10-11 6009
这里给大家直接上工具 js methods: //传入json对象,key(任意字符串,越长越好),获取md5加密 getMd5(params,key){ let str = JSON.stringify(this.sort_ASCII(params)) return this.$md5(encodeURIComponent(str+key)) } //对json 对象进行 ascii码 排序 sort_ASCII(obj) { var arr = new Array(); var num
Fiddler的基本使用、功能:限速、篡改数据、重定向、发送自定义请求、APP抓包
qwer9478的博客
10-11 1万+
Fiddler的基本使用、 1.界面基本说明 会话列表:每一次与服务器通信的请求都会获取到并显示。 请求:对服务器的请求响应:对客户端请求响应。 菜单:界面的设置。 点击会话列表中的某一条出现:Response body is encoded.Click to decode说明请求回来的需要编码,请确保“Decode”是选中的状态。这样我们可以点击Response body is encod...
charles的使用
sheep0924的博客
09-02 3656
一、charles的原理 1.1:Charles的原理 客户端向服务器发起HTTPS请求 Charles拦截客户端的请求,伪装成客户端向服务器进行请求 服务器向“客户端”(实际上是Charles)返回服务器的CA证书 Charles拦截服务器的响应,获取服务器证书公钥,然后自己制作一张证书,将服务器证书替换后发送给客户端。 客户端接收到“服务器”(实际上是Charles)的证书后,生成一个对称密钥,用Charles的公钥加密,发送给“服务器”(CharlesCharles拦截客户端的.
Charles配置代理以及简单使用
lydms的博客
05-30 2万+
文章目录一、简介1、概念2、工作原理3、主要功能4、优点5、Charles组件介绍二、初始化安装(MacOS)1、Charles安装2、配置代理(获取Http)2.1 代理设置2.2 获取本机IP2.4 访问控制2.5 设置Mac电脑代理2.6 http校验3、配置Https3.1 安装SSL证书3.2 配置SSL代理3.3 结果验证三、Charles使用1、流量配置2、断点配置3、断点调试 一、简介 1、概念 charles中文名叫青花瓷,它是一款基于HTTP协议的代理服务器,通过成为电脑或者浏览器的
charles 本地替换get请求
最新发布
07-14
Charles 中配置本地替换(Map Local)可以实现将网络请求映射到本地文件,从而修改 GET ...通过上述方式,可以在 Charles 中灵活配置 Map Local 来修改特定的 GET 请求响应,适用于调试测试不同场景下的前端行为。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值