⑴ android如何過濾http請求
Android客戶端捕獲http請求包的方法
對於Web測試,我們可以很容易的抓取到相關的http請求包,不用什麼專業軟體,甚至瀏覽器都能幫我們完成這個功能,拿到需要的http請求連接 。
http連接對於測試同學來說, 不論做功能、性能或是安全,都是非常重要的, 他過濾了前台的因素,讓測試同學直接能對後台進行交互。
以上是http連接的重要性,基本等於廢話,下面是正題。
客戶端安全測試,同樣需要拿到http的請求包,由於客戶端的前段限制繞過比較麻煩,那麼在做安全測試的過程中,直接拿到http的請求包顯得更外重要。
有如下方法可以拿到請求的http包:
1、在不配置代理的情況下,對Android客戶端(模擬器)的數據我們可以使用wireshark或者etherpeek等網路層抓包軟體抓取,模擬器本身的數據交互是通過電腦主機的網卡進行的,所以我們通過抓包軟體抓取主機網卡的數據包,經過過濾,便可得到模擬器客戶端中的數據包,類似這樣:
訪問之後,通過wireshark過濾http請求,便可找到我們剛剛發送的請求。
當然,這是種比較麻煩的方法,不過可以更確切的看到網路包發送的內容。
另一種辦法是對模擬器配置代理,讓所有請求包可以通過外部主機的七層抓包軟體,例如fiddler ,burpsuite等所捕獲到,配置代理需要先做一次設置:類似這樣:
進 入「設置」選項之後,按照圖示設置
這里proxy 設置為10.0.2.2是android模擬器對外部主機地址的硬編碼,埠設為8888是外部主機fiddler 的監聽地址,當然,如果是burpsuite 可以設置為8080。