利用FIDDLER工具进行session和cookie欺骗

fiddle使用方法Fiddler是一个网络调试工具，可以用于抓取、检查和修改HTTP和HTTPS流量。

以下是使用Fiddler的基本步骤：1.下载并安装Fiddler：首先，你需要在Fiddler的官网下载并安装Fiddler。

2.配置代理：在安装完成后，需要配置Fiddler作为你的计算机的代理。

这可以通过在Fiddler的“Tools > Options > Connection”菜单中设置“HTTP代理服务器”为你的电脑的IP地址和Fiddler的端口（默认为8888）来完成。

3.启动Fiddler：一旦配置好代理，你就可以启动Fiddler了。

此时，所有发送和接收的HTTP和HTTPS流量都将通过Fiddler。

4.开始抓包：在Fiddler界面中，你可以看到所有通过Fiddler的流量。

你可以通过点击“Inspectors > Raw Sessions”来查看详细的HTTP请求和响应信息。

5.使用Filters进行筛选：在抓包过程中，你可能会看到大量的流量信息。

为了方便查看你关心的数据，你可以使用Fiddler的Filters功能。

在“Filters”选项卡中，你可以设置过滤条件，例如只显示某个域名或端口的数据。

6.修改请求或响应：如果你需要对请求或响应进行修改，可以使用Fiddler的“Rules”功能。

在“Rules”选项卡中，你可以选择“Customize Rules”来自定义你的规则，或者使用已有的规则来修改请求或响应。

7.保存或分享会话：对于一些特定的会话，你可能想要保存或分享它们。

在Fiddler中，你可以右键点击会话并选择“Save Session”来保存会话信息。

你也可以选择“Export Session to CSV”来将会话信息导出为CSV格式，以便于分析和分享。

以上是使用Fiddler的基本步骤。

需要注意的是，由于Fiddler可以抓取和修改HTTP/HTTPS流量，因此在使用过程中需要确保你了解相关的安全风险，并确保只在受信任的网络中使用Fiddler。

python+pytest接⼝⾃动化（10）-session会话保持在接⼝测试的过程中，经常会遇到有些接⼝需要在登录的状态下才能请求，否则会提⽰请登录，那么怎样解决呢？上⼀篇⽂章我们介绍了Cookie绕过登录，其实这就是保持登录状态的⽅法之⼀。

另外⼀种⽅式则是通过session进⾏会话保持。

session，即会话。

那么什么⼜是会话？我们来看⼀下会话的⽣存周期就能⼤致明⽩，如下：开始：客户端(通常是浏览器)-->发送第⼀个请求-->某应⽤服务器，彼此成功建⽴连接，即创建会话；会话中：客户端接着请求该应⽤服务器的其他资源；结束：关闭客户端(通常是浏览器)或者会话超时，会话结束。

会话保持，可以通俗的理解为使同⼀⽤户发送的相关联的请求处于同⼀个会话中不被断开。

⽐如使⽤session成功地登录了某个⽹站，则在再次使⽤该session对象请求该⽹站的其他⽹页时，都会默认使⽤该session中之前保存的cookie等参数去请求，⽽不需要再次登录。

session会话保持⼤致原理如下：1. 客户端应⽤第⼀次请求该应⽤服务器时，服务器会创建⼀个session，该session对象中会存储特定的⽤户会话所需的属性及配置信息(如⽤户信息或登录状态等)，并保存在服务器中。

2. 创建session时，会赋予其⼀个session ID，该session ID会被置于set-cookie中随着请求返回给客户端，并保存在本地的cookie中。

3. 后续，客户端请求本应⽤中其他资源时，服务器就会收到cookie中的session ID，并根据ID在内存中查找之前创建的session对象，如果能找到且未过期，则说明是来⾃同⼀户⽤的请求。

在接⼝⾃动化测试中，某些情况下可以使⽤session会话保持机制来保持登录状态，这样就不需要每次清求接⼝都需要先登录。

接下来，我们以查看⽹站上个⼈的通知消息、个⼈信息为例，来说明在python接⼝⾃动化测试中怎样利⽤session保持登录状态。

全⽹最全最细的fiddler使⽤教程以及⼯作原理⼀、Fiddler抓包⼯具简介Fiddler是位于客户端和服务器端的HTTP代理。

Fiddler是⽬前最常⽤的http抓包⼯具之⼀。

Fiddler是功能⾮常强⼤，是web调试的利器。

⼆、Fiddler⼯作原理Fiddler原理图如下：Fiddler是⼀个代理服务器。

代理地址:127.0.0.1，端⼝:8888。

浏览器可以通过设置查看代理服务器：设置->⾼级->打开您计算机的代理设置->连接->局域⽹设置->代理服务器->在⾼级中就能看到代理地址:127.0.0.1和端⼝:8888当浏览器向服务器请求数据时，被Fiddler截获，截获后再发送给服务器，当服务器向浏览器响应数据时，同样会被Fiddler截获，然后再发送给浏览器，所以我们能够在Fiddler中看到请求的报⽂和响应的报⽂。

关掉Fiddler、代理服务器会⾃动取消。

如果Fiddler⾮正常退出，因为Fiddler没有⾃动注销，可能会造成⽹页⽆法访问。

解决的办法是重新启动Fiddler。

三、Fiddler安装Fiddler官⽹下载地址：https:///fiddlerFiddle证书⽣成器下载地址：/docs/default-source/fiddler/addons/fiddlercertmaker.exe?sfvrsn=2Fiddler安装注意事项：不要安装在有中⽂和特殊字符的⽬录。

四、Fiddler界⾯介绍Fiddler界⾯从上到下分为：菜单栏、⼯具栏、回话列表、功能页签、命令⾏，状态栏六⼤板块！如下图所⽰：五、Fiddler菜单栏介绍File菜单1、Capture Traffic：可以控制是否把Fiddler注册为系统代理。

2、New Viewer：打开⼀个新的fiddler窗⼝3、Load Archive：⽤于重新加载之前捕获的以SAZ⽂件格式保存的数据包。

常用的web抓包方法随着互联网的发展，web抓包技术在网络安全和应用开发中起着至关重要的作用。

通过抓包，我们可以获取到网络上的数据包，从而分析网络通信过程，发现潜在的安全威胁或者调试应用程序。

本文将介绍一些常用的web抓包方法，帮助读者更好地理解和应用这一技术。

一、使用代理工具抓包代理工具是web抓包的基本工具，它可以拦截和修改网络请求和响应。

常用的代理工具有Fiddler、Charles和Burp Suite等。

这些工具可以通过设置代理服务器，将浏览器的请求和服务器的响应导向到代理工具中，从而进行抓包分析。

1. FiddlerFiddler是一款功能强大且易于使用的web抓包工具。

它可以截获HTTP和HTTPS流量，并提供详细的会话信息和请求/响应的内容。

使用Fiddler，我们可以查看和修改请求头、请求体、响应头和响应体等信息，还可以通过Fiddler脚本进行自动化测试和定制化的抓包分析。

2. CharlesCharles是一款跨平台的web抓包工具，支持HTTP和HTTPS协议。

它可以截获浏览器和服务器之间的网络流量，并提供可视化的界面展示请求和响应的详情。

通过Charles，我们可以查看和编辑网络请求的各个部分，还可以模拟不同的网络环境，如慢速网络和断网等，以测试应用程序在不同情况下的表现。

3. Burp SuiteBurp Suite是一款专业的web应用程序安全测试工具，也可以用于web抓包。

它支持拦截和修改HTTP和HTTPS流量，提供详细的请求和响应信息。

Burp Suite还具有强大的漏洞扫描和渗透测试功能，可以帮助开发者和安全测试人员发现和修复应用程序的安全问题。

二、使用浏览器开发者工具抓包现代浏览器都内置了开发者工具，可以方便地进行web抓包。

开发者工具提供了网络面板，可以查看和分析浏览器和服务器的网络请求和响应。

1. Chrome开发者工具Chrome开发者工具是一款功能强大的web开发和调试工具，也可以用于抓包。

cookie欺骗简单的验证方法Cookie欺骗指的是攻击者在用户计算机上假冒网站的Cookie，以达到窃取用户信息的目的。

在实际的应用中，为保护用户信息的安全，需要对Cookie欺骗进行验证，以下是几种简单的验证方法。

1.利用HttpOnly属性:HttpOnly属性是用于防止XSS攻击的一项安全措施。

当使用HttpOnly后，客户端将不能通过文档对象模型（DOM）来访问Cookie，从而有效地防止了攻击者利用JavaScript窃取Cookie。

在客户端的Socket和WebSocket中，HttpOnly属性不起作用。

只需要在Cookie中添加HttpOnly属性后，就可以防止Cookie被伪造。

2.加密Cookie:加密Cookie是指将Cookie中的值通过某种加密方法加密，而非存储真实数据。

当服务器接收到请求后，将解密Cookie后进行操作。

这种方法可以使攻击者难以破解Cookie的值，增加Cookie泄漏的难度。

3.采用签名技术:在Cookie前面添加一个签名，当服务端接收到Cookie时，会比对Cookie值与签名是否匹配。

如果不匹配，服务端就会认为Cookie值不可信，并自动过期。

签名技术可以有效地防止攻击者利用Cookie欺骗窃取用户信息。

4.同源策略:SOP（Same origin policy）是一种安全策略，用于阻止页面与其源之外的文档进行交互。

同源策略可以防止攻击者通过插入iframe或JSONP等技术窃取用户的Cookie。

这样做是因为这些技术只能在同一域名下使用，通过限制域名，就可以有效地防止攻击。

5.防止XSS攻击:在Web应用程序中，攻击者可能会植入恶意的JavaScript脚本，尝试获取受害者的Cookie等敏感信息。

其中，跨站脚本攻击（XSS）是最常见的攻击方式。

为防止XSS攻击，需要使用HTTP头部控制、正则表达式过滤、调整字符集等技术。

总之，Cookie欺骗是一种十分常见的攻击手段。

获取cookie的方法在网络编程中，cookie是一种非常重要的信息传递方式，它可以帮助网站记住用户的登录状态、个性化设置等信息。

因此，了解如何获取cookie是非常有必要的。

下面将介绍几种获取cookie的方法。

1. 通过浏览器开发者工具获取cookie。

大多数现代浏览器都内置了开发者工具，通过它可以很方便地获取cookie。

首先，打开浏览器并进入要获取cookie的网站，然后按下F12键或右键点击页面并选择“检查”打开开发者工具。

在开发者工具的“应用”或“网络”选项卡中，可以找到网站设置的cookie信息，包括cookie的名称、值、过期时间等。

通过这种方式可以很方便地获取到网站设置的cookie信息。

2. 通过编程语言获取cookie。

除了通过浏览器开发者工具获取cookie外，我们也可以通过编程语言来获取cookie。

比如，在JavaScript中，可以通过document.cookie来获取当前页面的cookie信息；在Python中，可以使用requests库发送HTTP请求并获取响应头中的Set-Cookie字段来获取cookie信息。

通过编程语言获取cookie的方式更适合于自动化测试、爬虫等场景。

3. 通过浏览器插件获取cookie。

有些浏览器插件可以帮助我们更方便地获取cookie信息。

比如，EditThisCookie是一款常用的浏览器插件，它可以帮助我们管理网站设置的cookie 信息，包括查看、添加、编辑、删除cookie等操作。

通过这种方式，我们可以更直观地查看和管理网站设置的cookie信息。

4. 通过网络抓包工具获取cookie。

网络抓包工具可以帮助我们监控和分析网络请求和响应，从而获取cookie信息。

比如，Fiddler是一款常用的网络抓包工具，它可以捕获HTTP请求和响应，并查看其中的cookie信息。

通过这种方式，我们可以更深入地了解网站的cookie设置情况，对于一些加密或动态生成的cookie也能够进行分析和获取。

Fiddler的基本介绍及使用Fiddler是一款功能强大的网络调试工具，它可以用于捕获、分析和修改HTTP和HTTPS通信流量。

Fiddler的主要功能包括：捕获网络流量、修改和重发请求、查看和分析请求和响应的内容、模拟网络延迟和性能测试等。

下面将对Fiddler的基本介绍及使用进行详细说明。

一、Fiddler的基本介绍1. Fiddler的作用：Fiddler可以用于捕获和分析客户端和服务器之间的HTTP和HTTPS通信流量，帮助开发人员进行网络调试和性能优化。

2. Fiddler的特点：(2) 功能强大：Fiddler具有捕获和修改网络流量、查看和分析请求和响应的内容、模拟网络延迟和性能测试等多种功能，可以满足各种网络调试需求。

(3) 支持HTTPS：Fiddler支持HTTPS的解密和捕获，可以查看和分析HTTPS通信的内容。

(4) 扩展性好：Fiddler可以通过插件进行功能扩展，用户可以根据自己的需求添加各种功能模块。

二、Fiddler的使用2. 配置浏览器代理：为了让Fiddler能够捕获浏览器的HTTP和HTTPS流量，需要配置浏览器使用Fiddler作为代理服务器。

具体操作如下：(1)打开浏览器设置，找到代理服务器设置。

(2) 将代理服务器设置为127.0.0.1，端口设置为Fiddler默认的8888(3)保存设置并关闭浏览器。

3. 捕获网络流量：启动Fiddler后，可以看到界面上方的工具栏和下方的Session列表。

Session列表中会显示捕获到的HTTP和HTTPS请求和响应的详细信息。

5. 修改和重发请求：在Inspectors面板中，可以对请求进行修改，然后点击“Reissue”按钮重新发送修改后的请求。

这对于测试和调试非常有用，可以模拟不同的请求场景。

6. 模拟网络延迟：Fiddler可以模拟网络延迟，帮助开发人员测试应用在不同网络条件下的性能。

在工具栏中点击“Rules”->“Performance”->“Simulate Modem Speeds”可以打开模拟网络延迟的功能。

Fiddler的基本介绍及使⽤（个⼈整理）Fiddler⼯具的介绍及使⽤⼀、Fiddler的基本介绍Fiddler官⽅⽹站提供了⼤量的帮助⽂档和视频教程，这是学习Fiddler的最好资料。

Fiddler是最强⼤最好⽤的Web调试⼯具之⼀，它能记录所有客户端和服务器的http和https请求，允许你监视，设置断点，甚⾄修改输⼊输出数据。

Fiddler⽆论对开发⼈员或者测试⼈员来说，都是⾮常有⽤的⼯具。

Fiddler是⼀个http协议调试代理⼯具，它能够记录并检查所有你的电脑和互联⽹之间的http通讯，设置断点，查看所有的“进出”Fiddler的数据（指cookie,html,js,css等⽂件，这些都可以让你胡乱修改的意思）。

Fiddler 要⽐其他的⽹络调试器要更加简单，因为它不仅仅暴露http通讯还提供了⼀个⽤户友好的格式。

⼆、Fiddler的⼯作原理Fiddler 是以代理web服务器的形式⼯作的，它使⽤代理地址:127.0.0.1，端⼝:8888。

当Fiddler 退出的时候它会⾃动注销，这样就不会影响别的程序。

不过如果Fiddler⾮正常退出，这时候因为Fiddler 没有⾃动注销，会造成⽹页⽆法访问。

解决的办法是重新启动下Fiddler。

三、同类的其它⼯具同类的⼯具有: httpwatch, firebug, wireshark四、Fiddler 开启原理左下⾓的capturing显⽰，表⽰开，不显⽰表⽰关，也可以⽤F12进⾏开关，或者File菜单下Capture Traffic 被勾选，勾选后fiddler才能监控浏览器的⼀举⼀动。

代理开关为开：可以抓到包，代理开关为关：抓不到包浏览器的代理设置默认是关着的，⼯具--Internet选项--连接--局域⽹设置--代理服务器Fiddler在操作时，通过修改注册表的⽅式，将系统的⼀些VRnet的代理模式全部给修改掉，改到Tools--Telerik Fiddler Options--Connections⾃⼰的代理端⼝上，默认端⼝为8888。

接⼝⾃动化常见的⾯试题1、软件接⼝是什么？程序不同模块之间传输数据并作处理的类或函数2、HTTP 和 HTTPS 协议区别？答： https 协议需要到 CA（Certificate Authority，证书颁发机构）申请证书，⼀般免费证书较少，因⽽需要⼀定费⽤； http 是超⽂本传输协议，信息是明⽂传输，Https 协议是由 SSL+Http 协议构建的可进⾏加密传输、⾝份认证的⽹络协议，⽐ http 协议安全； http 和 https 使⽤的是完全不同的连接⽅式，⽤的端⼝也不⼀样，前者是 80，后者是 443；3.HTTPS 在哪⼀层？以前我⾯试很喜欢提⽹络协议的问题，有朋友说我装 X，不实⽤。

稍有点研究⽹络知识，实际就不难回答答：HTTPS 在应⽤层4、get 和 post 区别是什么？答：POST 和 GET 都是向服务器提交数据，并且都会从服务器获取数据。

区别： 1）传送⽅式：get 通过地址栏传输，post 通过报⽂传输2）传送长度：get 参数有长度限制（受限于 url 长度），⽽ post ⽆限制 3）GET 产⽣⼀个 TCP 数据包（对于 GET ⽅式的请求，浏览器会把 http header 和 data ⼀并发送出去，服务器响应 200 返回数据），POST 产⽣两个 TCP 数据包（对于 POST，浏览器先发送 header，服务器响应 100 continue，浏览器再发送 data，服务器响应 200 ok 返回数据） 4）get 请求参数会被完整保留在浏览历史记录⾥，⽽ post 中的参数不会被保留 5）在做数据查询时，建议⽤ GET ⽅式；⽽在做数据添加、修改或删除时，建议⽤ post ⽅式5、常见的 POST 提交数据⽅式答：主要有四种⽅式：application/x-www-form-urlencoded、multipart/form-data、 application/json、text/xml 等。

Fiddler (二) Script 用法阅读目录1. Fiddler的作者2. 如何向Fiddler的作者请教3. 关于Fiddler Script 和4. Fiddler Script 是用语言写的5. 安装Fiddler Script Editor6. 给Fiddler添加菜单7. 修改Session在Fiddler的显示样式8. 如何在Fiddler Script中修改Cookie9. 如何在Fiddler Script中修改Request 中的bodyFiddler的作者Fiddler 的作者是Eric Lawrence 是个大师级的人物，目前在微软总部西雅图工作。

遇到问题如何向Fiddler的作者请教Eric Lawrence 在Google 论坛中建了一个Fiddler 的讨论组，地址是:https:///forum/?fromgroups#!forum/httpfiddler 在这里Fiddler的使用者如果遇到任何问题，都可以这论坛里直接问Eric Law. Eric Law一般都会很快答复你。

在问问题之前，请搜索下。

因为你的问题很可能别人早就问过了。

关于Fiddler ScriptFiddler 包含了一个脚本文件可以自动修改Http Request 和Response.这样我们就不需要手动地下"断点"去修改了，实际上它是一个脚本文件CustomRules.js位于: C:\Documents and Settings\[your user]\MyDocuments\Fiddler2\Scripts\CustomRules.js 下你也可以在Fiddler 中打开CustomRules.js 文件，启动Fiddler, 点击菜单Rules->Customize Rules...Fiddler Script 的官方帮助文档必须认真阅读，地址是：/Fiddler/dev/ScriptSamples.aspFiddler Script 是用语言写的我从来没听说过语言，可能是JScript的升级版吧。

Fiddler工具的介绍及使用一、Fiddler的基本介绍Fiddler官方网站提供了大量的帮助文档和视频教程，这是学习Fiddler的最好资料。

Fiddler是最强大最好用的Web调试工具之一，它能记录所有客户端和服务器的http和https请求，允许你监视，设置断点，甚至修改输入输出数据。

Fiddler无论对开发人员或者测试人员来说，都是非常有用的工具。

Fiddler是一个http协议调试代理工具，它能够记录并检查所有你的电脑和互联网之间的http通讯，设置断点，查看所有的“进出”Fiddler的数据（指cookie,html,js,css等文件，这些都可以让你胡乱修改的意思）。

Fiddler 要比其他的网络调试器要更加简单，因为它不仅仅暴露http通讯还提供了一个用户友好的格式。

二、Fiddler的工作原理Fiddler 是以代理web服务器的形式工作的，它使用代理地址:127.0.0.1，端口:8888。

当Fiddler 退出的时候它会自动注销，这样就不会影响别的程序。

不过如果Fiddler非正常退出，这时候因为Fiddler 没有自动注销，会造成网页无法访问。

解决的办法是重新启动下Fiddler。

三、同类的其它工具同类的工具有: httpwatch, firebug, wireshark四、Fiddler 开启原理左下角的capturing显示，表示开，不显示表示关，也可以用F12进行开关，或者File菜单下Capture Traffic 被勾选，勾选后fiddler才能监控浏览器的一举一动。

代理开关为开：可以抓到包，代理开关为关：抓不到包浏览器的代理设置默认是关着的，工具--Internet选项--连接--局域网设置--代理服务器Fiddler在操作时，通过修改注册表的方式，将系统的一些VRnet的代理模式全部给修改掉，改到Tools--Telerik Fiddler Options--Connections自己的代理端口上，默认端口为8888。

cookie伪造原理Cookie伪造原理是指攻击者利用不当手法伪造有效用户的Cookie信息，从而进行恶意操作或者模拟用户身份访问网站或应用程序的一种攻击手段。

Cookie是一种由服务器发送给客户端的信息，存储在用户的计算机上，并在用户下次访问该网站时发送给服务器。

它主要用于识别用户、记录用户操作等功能。

下面我会详细介绍Cookie伪造的原理及相关防范措施。

Cookie伪造通常包括如下几个步骤：1. 抓取Cookie：攻击者通过各种手段获取合法用户的Cookie信息。

常见的方法包括利用网络监听工具如Wireshark等来截获网络数据包，或者通过一些已经存在的黑客技术如XSS等来获取目标用户的Cookie。

2. 重放Cookie：攻击者将抓取到的Cookie信息重新发送给目标网站，模拟用户的身份进行一些操作。

网站通常根据Cookie信息来判断用户的身份和权限等信息。

3. 冒充用户：攻击者使用伪造的Cookie来冒充合法用户的身份，实施一些恶意操作。

例如，攻击者可以在目标网站上进行一些未经授权的操作，如发表评论、删除数据等。

为了防范Cookie伪造，我们可以采取以下一些措施：一、使用加密技术：对Cookie信息进行加密处理，使得攻击者无法通过抓包等手段获取明文Cookie。

采用HTTPS协议传输Cookie信息，使用SSL/TLS加密通信可以有效确保Cookie的机密性。

二、使用HttpOnly属性：将Cookie设置为HttpOnly属性，使其只能通过HTTP协议传输，禁止JavaScript等脚本语言来读取Cookie信息。

这样可以防止XSS攻击手段获取到Cookie信息。

三、设置Secure属性：通过将Cookie设置为Secure属性，只有在HTTPS安全环境下才能接收和发送Cookie信息。

这样一来，攻击者在非加密的HTTP连接中无法利用该Cookie进行伪造操作。

四、使用Session管理：将用户信息与敏感数据存储在服务器端的Session中，而不是存放在客户端的Cookie中。

Fiddler抓包⼯具使⽤详解⼀、Fiddler简介Fiddler是最强⼤最好⽤的Web调试⼯具之⼀，它能记录所有客户端和服务器的http和https请求。

允许你监视、设置断点、甚⾄修改输⼊输出数据。

Fiddler包含了⼀个强⼤的基于事件脚本的⼦系统，并且能使⽤.net语⾔进⾏扩展。

换⾔之，你对HTTP 协议越了解，你就能越掌握Fiddler的使⽤⽅法。

你越使⽤Fiddler，就越能帮助你了解HTTP协议。

Fiddler⽆论对开发⼈员或者测试⼈员来说，都是⾮常有⽤的⼯具。

⼆、Fiddler的⼯作原理Fiddler 是以代理web服务器的形式⼯作的，它使⽤代理地址:127.0.0.1，端⼝:8888。

当Fiddler退出的时候它会⾃动注销，这样就不会影响别的程序。

不过如果Fiddler⾮正常退出，这时候因为Fiddler没有⾃动注销，会造成⽹页⽆法访问。

解决的办法是重新启动下Fiddler。

个⼈理解：fiddler是⼀个抓包⼯具，当浏览器访问服务器会形成⼀个请求，此时，fiddler就处于请求之间，当浏览器发送请求，会先经过fiddler，然后在到服务器；当服务器有返回数据给浏览器显⽰时，也会先经过fiddler，然后数据才到浏览器中显⽰，这样⼀个过程，fiddler就抓取到了请求和响应的整个过程。

正常退出⽅式：Fiddler界⾯三、http协议介绍协议是指计算机通信⽹络中两台计算机之间进⾏通信所必须共同遵守的规定或规则，超⽂本传输协议(HTTP)是⼀种通信协议，它允许将超⽂本标记语⾔(HTML)⽂档从Web服务器传送到客户端的浏览器。

HTTP协议的主要特点1.⽀持客户/服务器模式2.简单快速：客户向服务器请求服务时，只需传送请求⽅法和路径。

请求⽅法常⽤的有GET、HEAD、POST。

每种⽅法规定了客户与服务器联系的类型不同。

由于HTTP协议简单，使得HTTP服务器的程序规模⼩，因⽽通信速度很快。

cookie欺骗简单的验证方法随着互联网的发展，越来越多的网站需要进行用户身份验证，以确保用户的安全和数据的保密性。

其中，cookie是一种常见的验证方式，它可以在用户登录后保存用户的身份信息，以便用户在下次访问该网站时无需重新登录。

然而，cookie也存在被欺骗的风险。

黑客可以通过一些简单的方法来伪造cookie，从而欺骗网站进行身份验证，进而获取用户的敏感信息。

下面介绍几种常见的cookie欺骗方法：1. XSS攻击XSS攻击是指黑客通过注入恶意脚本来攻击网站，从而获取用户的cookie信息。

当用户访问被注入恶意脚本的网站时，黑客就可以获取用户的cookie信息，从而伪造用户的身份进行欺骗。

2. CSRF攻击CSRF攻击是指黑客通过伪造用户的请求来攻击网站，从而获取用户的cookie信息。

当用户在访问被黑客控制的网站时，黑客就可以伪造用户的请求，从而获取用户的cookie信息，进而欺骗网站进行身份验证。

3. Session劫持Session劫持是指黑客通过获取用户的session ID来攻击网站，从而获取用户的cookie信息。

当用户在访问被黑客控制的网站时，黑客就可以获取用户的session ID，从而获取用户的cookie信息，进而欺骗网站进行身份验证。

为了防止cookie欺骗，网站可以采取以下措施：1. 使用HTTPS协议HTTPS协议可以加密用户的数据传输，从而防止黑客窃取用户的cookie信息。

2. 设置cookie的HttpOnly属性设置cookie的HttpOnly属性可以防止黑客通过JavaScript来获取用户的cookie信息。

3. 使用双因素身份验证双因素身份验证可以增加用户的身份验证难度，从而防止黑客欺骗网站进行身份验证。

cookie欺骗是一种常见的网络攻击方式，网站需要采取相应的措施来防止黑客的攻击。

同时，用户也需要注意保护自己的账号和密码，避免被黑客攻击。

2020⾮常全的接⼝测试⾯试题及参考答案⽬录1、你们公司的接⼝测试流程是怎样的？（有没有感觉熟悉，貌似在哪⾥听过）接⼝测试我们是在XX项⽬做的，主要有XX接⼝，XX接⼝，XX接⼝等。

1、⾸先是从开发那⾥拿到API接⼝⽂档，了解接⼝业务、包括接⼝地址、请求⽅式，⼊参、出参，token鉴权，返回格式等信息。

2、然后使⽤Postman或Jmeter⼯具执⾏接⼝测试，⼀般使⽤Jmeter的步骤是这样的：1、⾸先新建⼀个线程组。

2、然后就是新建⼀个HTTP请求默认值。

（输⼊接⼝服务器IP和端⼝）3、再新建很多HTTP请求，⼀个请求⼀个⽤例。

（输⼊接⼝路径，访问⽅式，参数等。

）4、然后创建断⾔和查看结果树。

3、最后调试并执⾏⽤例，最后编写接⼝测试报告4、其实我们做接⼝的时候也碰到了蛮多的问题，都是⾃⼰独⽴解决的，⽐如返回值乱码（修改jmeter的配置⽂件为UTF-8编码⽅式），⽐如需要登录后才能取得token鉴权码并且这个鉴权码在下⾯的请求中需要⽤到（使⽤正则表达式提取器提取token的值等。

2、请简述⼀下cookie、session以及token的区别（有没有感觉整个是万年不变的⾯试题）（1）cookie数据存放在客户的浏览器上，session数据放在服务器上。

⽽token是接⼝测试时的鉴权码，⼀般情况下登陆后才可以获取到token，然后在每次请求接⼝时需要带上token参数。

（2）cookie不是很安全，别⼈可以分析存放在本地的cookie并进⾏cookie欺骗，考虑到安全应当使⽤session，session会在⼀定时间内保存在服务器上。

当访问增多，会⽐较占⽤你服务器的性能，考虑到减轻服务器性能⽅⾯应当使⽤cookie（3）可以将登陆信息等重要信息存放为session；其他信息需要保存，可以放在cookie3、接⼝测试如何设计测试⽤例？（必问，有没有感觉答得整个⼈都不好了？）接⼝测试⼀般考虑⼊参形式的变化和接⼝的业务逻辑，⼀般设计接⼝测试⽤例采⽤等价类、边界值、场景法居多！接⼝测试设计测试⽤例的思路如下：1.接⼝业务逻辑测试?(正例)接⼝逻辑测试是指根据业务逻辑、输⼊参数、输出值的描述，对正常输⼊情况下所得的输出值是否正确的测试，也就是测试对外提供的接⼝服务是否正常⼯作。

抓包⼯具-Fiddler详细介绍Fiddler的详细介绍⼀、Fiddler与其他抓包⼯具的区别　1、Firebug虽然可以抓包，但是对于分析http请求的详细信息，不够强⼤。

模拟http请求的功能也不够，且firebug常常是需要“⽆刷新修改”，如果刷新了页⾯，所有的修改都不会保存；　2、Wireshark是通⽤的抓包⼯具，能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容，但如果是TCP、UDP协议可以⽤wireshark；　3、Httpwatch也是⽐较常⽤的http抓包⼯具，但是只⽀持IE和firefox浏览器（其他浏览器可能会有相应的插件）；⽽Fiddler 是⼀个使⽤本地 127.0.0.1:8888 的 HTTP 代理，任何能够设置 HTTP 代理为 127.0.0.1:8888 的浏览器和应⽤程序都可以使⽤Fiddler。

⼆、Fiddler的⼯作原理　Fiddler是位于客户端和服务器端的HTTP代理，也是⽬前最常⽤的http抓包⼯具之⼀。

它能够记录客户端和服务器之间的所有 HTTP请求，可以针对特定的HTTP请求，分析请求数据、设置断点、调试web应⽤、修改请求的数据，甚⾄可以修改服务器返回的数据。

　既然是代理，也就是说：客户端的所有请求都要先经过Fiddler，然后转发到相应的服务器，反之，服务器端的所有响应，也都会先经过Fiddler然后发送到客户端，所以web客户端和服务器的请求如图1所⽰：图1（web客户端和服务器的请求过程）　注：使⽤Fiddler的话，需要先设置浏览器的代理地址，才可以抓取到浏览器的数据包。

⽽很⽅便的是在你启动该⼯具后，它就已经⾃动帮你设置好了浏览器的代理了，当关闭后，它⼜将浏览器代理还原了。

当然如果发现没有⾃动设置浏览器代理的话，那就得⾃⼰动⼿去浏览器进⾏设置代理操作了。

（可⾃⾏百度每个浏览器是如何设置代理的），反正⼀定要设置相应的代理，否则fiddler是⽆法捕获到HTTP请求的。

Fiddler拦截请求、修改数据
通过设置断点，Fiddler可：
1、修改请求头信息，如UA、cookies、referer等
2、构造请求数据
3、拦截响应，修改响应数据
断点设置⽅法：
1、fiddler菜单栏 > Rules > Automatic Breakpoints > 选择断点⽅式
a、Before Requests，客户端发送后，fiddler中转前，可以修改请求的数据
b、After Responses，服务端响应后，fiddler中转前，可以修改响应的数据
取消断点：Rules > Automatic Breakpoints > Disabled
或者：点击图⽰框线位置，单击=Before Requests，双击=After Responses，三击=Disabled
2、命令⾏设置断点
a、bpu在请求开始时中断
b、bpafter在响应到达时中断
c、bps中断HTTP响应状态为指定字符的全部session响应
d、bpv/bpm中断指定请求⽅式的全部session响应
⽰例：
修改数据：
Inspectors，修改参数后点击Run to Completion；响应数据则先点击Break on Response，修改数据后再点击Run to Completion，可通过Choose Response > Find a file⾃定义响应。

提供一下Fiddler4的下载地址
一：电脑端代理服务器设置：1、首先下载安装Fiddler，下载地址：.net 4的用户下载
fiddler4；.net 2的用户下载fiddler2如何查看.net版本：如果电脑上已经安装了.net可以到控制面板--添加/删除程序查看（win7下是控制面板--程序和功能）
2、安装好fiddler后打开，点击“Tool--Fiddler Options--General”打开设置界面，按照下图进行设置
3、再打开“Tool--Fiddler Options--Connections”照下图进行设置：完成以上步骤代理服务器就算是建好了，下面先要使用手机连接代理服务器二、手机设置代理：下面以本人使用的红米手机及360wifi网络环镜为例讲一下怎么设置代理1、首先查看自己电脑端的IP地址，在Fiddler主界面右上角有个“online”图标，鼠标放上面就可以看到了，如下图：
由于360wifi的原因，所以我这里有两个ip，这种情况两个都可以试一下2、手机打开设置--Wlan--wifi 链接，按照下图的步骤填写代理ip
3、设置好之后先用手机上一下网，如果能正常连接的话代理就设置成功了
4、安装证书打开你的手机浏览器-UC 浏览器也可以输入你的局域网IP 地址：端口然后就会出现这样的页面
点击FiddlerRoot Certificate ，下载到SD 卡根目录。

（这里可使用UC 浏览器下载）最后打开手机设置-安全-凭据存储
-
从SD 卡安装，点确定，OK ，搞定。

Fiddler断点的使用场景非常广泛，以下是其中几个常见的使用场景：
1. 调试网络请求：在使用Fiddler进行网络调试时，可以通过设置断点来拦截并修改HTTP 请求或响应的数据，以便于对请求和响应进行更详细的分析和调试。

2. 模拟用户行为：通过Fiddler断点，可以修改HTTP请求头信息，例如User-Agent、Cookie、Referer等，以模拟用户真实请求的行为，从而更好地测试和优化应用程序。

3. 突破表单限制：在测试网页时，如果前端限制了某些输入框的数值大小，例如输入数字必须小于10，而你想测试大于10的情况，就可以通过Fiddler断点来修改请求参数，绕过前端限制进行测试。

4. 拦截响应数据：通过Fiddler断点，可以拦截HTTP响应数据，并进行修改或删除，以便于检查页面展示效果或进行极端情况下的测试。

5. 模拟网络中断：通过Fiddler断点，可以模拟网络中断的情况，以便于测试应用程序在网络中断情况下的表现和性能。

总之，Fiddler断点是一种非常强大的网络调试工具，可以在开发、测试和优化应用程序时提供方便、实用的支持。