web抓包工具有哪些

HTTP Analyzer

界面非常直观,无需选择要抓包的浏览器或者软件，直接全局抓取，很傻瓜化，但是功能决定不简单。其他抓包工具有的功能它有，其他没有的功能它也有。点击start即可进行抓包,红色按钮停止抓包，停止按钮右边的就是暂停抓包按钮。

HttpWatch

界面和HTTP Analyzer有点像，但是功能少了几个。而且只能附加到浏览器进行抓包。附加的办法：打开浏览器-》查看-》浏览器栏-》HttpWatch，然后点record即可抓包。

特点：抓包功能强大，但是只能依附在IE上。Post提交的数据只有参数和参数的值，没有显示提交的url编码数据。

HTTPDebugger

同样是全局抓包，抓包和停止抓包同个按钮。软件界面感觉没有那么友好，POST的数据只能在requestcontent内查看，只显示提交的url编码数据

web攻击有哪些？怎么防护？

1、DoS和DDoS攻击（DoS(Denial of Service)，即拒绝服务，造成远程服务器拒绝服务的行为被称为DoS攻击。其目的是使计算机或 *** 无法提供正常的服务。最常见的DoS攻击有计算机 *** 带宽攻击和连通性攻击）

防范：(1) 反欺骗：对数据包的地址及端口的正确性进行验证，同时进行反向探测。(2) 协议栈行为模式分析：每个数据包类型需要符合RFC规定，这就好像每个数据包都要有完整规范的着装，只要不符合规范，就自动识别并将其过滤掉。(3) 特定应用防护：非法流量总是有一些特定特征的，这就好比即便你混进了顾客群中，但你的行为还是会暴露出你的动机，比如老重复问店员同一个问题，老做同样的动作，这样你仍然还是会被发现的。(4) 带宽控制：真实的访问数据过大时，可以限制其更大输出的流量，以减少下游 *** 系统的压力。

2、CSRF(Cross Site Request Forgery)，即跨站请求伪造，是一种常见的Web攻击，但很多开发者对它很陌生。CSRF也是Web安全中最容易被忽略的一种攻击。

防范：(1) 验证码。应用程序和用户进行交互过程中，特别是账户交易这种核心步骤，强制用户输入验证码，才能完成最终请求。在通常情况下，验证码够很好地遏制CSRF攻击。但增加验证码降低了用户的体验，网站不能给所有的操作都加上验证码。所以只能将验证码作为一种辅助手段，在关键业务点设置验证码。(2) Referer Check。HTTP Referer是header的一部分，当浏览器向web服务器发送请求时，一般会带上Referer信息告诉服务器是从哪个页面链接过来的，服务器籍此可以获得一些信息用于处理。可以通过检查请求的来源来防御CSRF攻击。正常请求的referer具有一定规律，如在提交表单的referer必定是在该页面发起的请求。所以通过检查http包头referer的值是不是这个页面，来判断是不是CSRF攻击。但在某些情况下如从https跳转到http，浏览器处于安全考虑，不会发送referer，服务器就无法进行check了。若与该网站同域的其他网站有XSS漏洞，那么攻击者可以在其他网站注入恶意脚本，受害者进入了此类同域的网址，也会遭受攻击。出于以上原因，无法完全依赖Referer Check作为防御CSRF的主要手段。但是可以通过Referer Check来监控CSRF攻击的发生。(3) Anti CSRF Token。目前比较完善的解决方案是加入Anti-CSRF-Token，即发送请求时在HTTP 请求中以参数的形式加入一个随机产生的token，并在服务器建立一个拦截器来验证这个token。服务器读取浏览器当前域cookie中这个token值，会进行校验该请求当中的token和cookie当中的token值是否都存在且相等，才认为这是合法的请求。否则认为这次请求是违法的，拒绝该次服务。这种 *** 相比Referer检查要安全很多，token可以在用户登陆后产生并放于session或cookie中，然后在每次请求时服务器把token从session或cookie中拿出，与本次请求中的token 进行比对。由于token的存在，攻击者无法再构造出一个完整的URL实施CSRF攻击。但在处理多个页面共存问题时，当某个页面消耗掉token后，其他页面的表单保存的还是被消耗掉的那个token，其他页面的表单提交时会出现token错误。

3、XSS(Cross Site Scripting)，跨站脚本攻击。为和层叠样式表(Cascading Style Sheets，CSS)区分开，跨站脚本在安全领域叫做“XSS”。

防范：(1) 输入过滤。永远不要相信用户的输入，对用户输入的数据做一定的过滤。如输入的数据是否符合预期的格式，比如日期格式，Email格式， *** 号码格式等等。这样可以初步对XSS漏洞进行防御。上面的措施只在web端做了限制，攻击者通抓包工具如Fiddler还是可以绕过前端输入的限制，修改请求注入攻击脚本。因此，后台服务器需要在接收到用户输入的数据后，对特殊危险字符进行过滤或者转义处理，然后再存储到数据库中。(2) 输出编码。服务器端输出到浏览器的数据，可以使用系统的安全函数来进行编码或转义来防范XSS攻击。在PHP中，有htmlentities()和htmlspecialchars()两个函数可以满足安全要求。相应的JavaScript的编码方式可以使用JavascriptEncode。(3) 安全编码。开发需尽量避免Web客户端文档重写、重定向或其他敏感操作，同时要避免使用客户端数据，这些操作需尽量在服务器端使用动态页面来实现。(4) HttpOnly Cookie。预防XSS攻击窃取用户cookie最有效的防御手段。Web应用程序在设置cookie时，将其属性设为HttpOnly，就可以避免该网页的cookie被客户端恶意JavaScript窃取，保护用户cookie信息。(5)WAF(Web Application Firewall)，Web应用防火墙，主要的功能是防范诸如网页木马、XSS以及CSRF等常见的Web漏洞攻击。由第三方公司开发，在企业环境中深受欢迎。

4、SQL注入(SQL Injection)，应用程序在向后台数据库传递SQL(Structured Query Language，结构化查询语言)时，攻击者将SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

防范：(1) 防止系统敏感信息泄露。设置php.ini选项display_errors=off，防止php脚本出错之后，在web页面输出敏感信息错误，让攻击者有机可乘。(2) 数据转义。设置php.ini选项magic_quotes_gpc=on，它会将提交的变量中所有的’(单引号)，”(双引号)，\(反斜杠)，空白字符等都在前面自动加上\。或者采用mysql_real_escape()函数或addslashes()函数进行输入参数的转义。(3) 增加黑名单或者白名单验证。白名单验证一般指，检查用户输入是否是符合预期的类型、长度、数值范围或者其他格式标准。黑名单验证是指，若在用户输入中，包含明显的恶意内容则拒绝该条用户请求。在使用白名单验证时，一般会配合黑名单验证。

5、上传漏洞在DVBBS6.0时代被黑客们利用的最为猖獗，利用上传漏洞可以直接得到WEBSHELL，危害等级超级高，现在的入侵中上传漏洞也是常见的漏洞。该漏洞允许用户上传任意文件可能会让攻击者注入危险内容或恶意代码，并在服务器上运行。

防范： (1)检查服务器是否判断了上传文件类型及后缀。 (2) 定义上传文件类型白名单，即只允许白名单里面类型的文件上传。 (3) 文件上传目录禁止执行脚本解析，避免攻击者进行二次攻击。 Info漏洞 Info漏洞就是CGI把输入的参数原样输出到页面，攻击者通过修改输入参数而达到欺骗用户的目的。

抓包工具有哪些

抓包工具有哪些？

1.

Wireshark抓包工具 Wireshark(前称Ethereal)是一个 *** 封包分析软件...

2.

MiniSinffer MiniSniffer( *** 嗅探器)一个小巧的 *** 抓包工具(嗅探器)...

3.

WSExplorer WSExplorer 是个简单实用的 *** 抓包工具,相比上个版本更人性化了,新版上在界面上进行了优化和添加了过滤功能。

4.

iptool iptool网路抓包工具是一款好用的 *** 抓包工具,使用 *** 很简单,...

了解过 *** 安全技术的人都知道一个名词“抓包”。那对于局外人，一定会问什么是抓包？考虑到，大家的技术水平不一，我尽可能用非专业的口吻简单的说一下。

抓包就是将 *** 传输发送与接收的数据包进行截获、重发、编辑、转存等操作，也用来检查 *** 安全。抓包也经常被用来进行数据截取等。黑客常常会用抓包软件获取你非加密的上网数据，然后通过分析，结合社会工程学进行攻击。所以，学会抓包，对于学好 *** 安全技术十分重要。

在我们做接口测试的时候，经常需要验证发送的消息是否正确，或者在出现问题的时候，查看手机客户端发送给server端的包内容是否正确，就需要用到抓包工具。而工程师和程序常用的抓包工具有哪些呢？今天我们就来简单聊一聊最常用的2种。

Fiddler是在windows上运行的程序，专门用来捕获HTTP，HTTPS的。

wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容。

总结，如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark。

一、Fiddler

当启动fiddler，程序将会把自己作为一个 *** ，所以的http请求在达到目标服务器之前都会经过fiddler，同样的，所有的http响应都会在返回客户端之前流经fiddler。

Fiddler可以抓取支持http *** 的任意程序的数据包，如果要抓取https会话，要先安装证书。

Fiddler的工作原理

Fiddler 是以 *** web服务器的形式工作的,它使用 *** 地址:127.0.0.1, 端口:8888. 当Fiddler会自动设置 *** ， 退出的时候它会自动注销 *** ，这样就不会影响别的程序。不过如果Fiddler非正常退出，这时候因为Fiddler没有自动注销，会造成网页无法访问。解决的办法是重新启动下Fiddler.

Fiddler 如何捕获Firefox的会话

能支持HTTP *** 的任意程序的数据包都能被Fiddler嗅探到，Fiddler的运行机制其实就是本机上监听8888端口的HTTP *** 。Fiddler2启动的时候默认IE的 *** 设为了127.0.0.1:8888，而其他浏览器是需要手动设置的，所以将Firefox的 *** 改为127.0.0.1:8888就可以监听数据了。

Firefox 上通过如下步骤设置 ***

点击: Tools - Options, 在Options 对话框上点击Advanced tab - network tab - setting.

Firefox 中安装Fiddler插件

修改Firefox 中的 *** 比较麻烦， 不用fiddler的时候还要去掉 *** 。推荐你在firefox中使用fiddler hook 插件, 这样你非常方便的使用Fiddler获取firefox中的request 和response，当你安装fiddler后，就已经装好了Fiddler hook插件，你需要到firefox中去启用这个插件打开firefox tools-Add ons - Extensions 启动 FiddlerHook

F

有哪些抓包工具？

抓包工具的对比

一、httpwatch：

1.   httpwatch与IE和firefox浏览器集成，但不支持chrome；httpwatch界面清晰直观，发送请求后可以快速简单的查看Cookies, Headers, Query Strings and POST data，能够通过页面分组处理多页面场景。

2.   实时分级时间展示图能够展示一个http/https请求的处理过程；通过不同的颜色展示 *** 请求计时，如DNS查询，tcp连接；以瀑布形式展示浏览器事件，例如从浏览器渲染和页面加载计时就开始了，可以自动检查性能问题。

3.   安装简单，不需要设置 *** 和证书；提供接口API可以被大部分编程语言自动化调用、录制、保存结果。

4.   但只能看不能修改

二、Fiddler：

1.Fiddler是一个独立的应用，可以调试PC、Mac或Linux系统和移动设备的之间的通信，支持大部分框架如java、.net、java、Ruby，需要设置 *** 。

2.能够暂停Http通讯，并且允许修改请求和响应方便进行安全测试，也可以设置检查点做功能测试。

3.通过暴露HTTP头，用户可以看见哪些页面被允许在客户端或者是 *** 端进行缓存。如果要是一个响应没有包含Cache-Control头，那么他就不会被缓存在客户端。

4.可以通过Composer进行接口测试。

      三、科来 *** 分析系统

1.科来 *** 分析系统是一款专业的通过抓取 *** 数据包进行 *** 检测， *** 协议分析工具，可实时监测 *** 传输数据，全面透视整个 *** 的动态信息。除了能实时检测每台电脑的上网情况，邮件收 *** 况， *** 登录情况， *** 流量外，还具有强大的数据包解码分析功能，可诊断 *** 故障，定位 *** 瓶颈，检测 *** 安全隐患，支持多种协议。

2.一般用于抓取其他协议包

      四、firebug

1、Firebug是firefox下的一个扩展，它除了能进行 *** 分析还能够调试所有网站语言，如js、Html、Css等，支持各种浏览器如IE、Firefox、Opera,、Safari。

2. Firebug是开源工具，能够将页面中的CSS、javascript以及网页中引用的图片载入所消耗的时间以矩状图呈现出来，方便我们对网页进行调优。

3.Firebug编辑、删改任何网站的CSS、HTML、DOM 以及JavaScrip

谁会fd抓包

FD原名fiddler 网上的基本上都被封杀了

只有一些弄电脑的，黑客有

FD不用像IE httpwatch一样

点开始 停止

直接当你付款的时候会有个表格

改下数据就可以

作为程序员的你，常用的工具软件有哪些？

之一款：TrueCrypt

TrueCrypt可能很多人没用过，它是一个加密软件，能够对磁盘进行加密。还在担心自己电脑中的重要文件、私密档案被人查看。什么，你以为把文件设置了隐藏属性别人就看不到了？：) ：）快来用TrueCrypt ，你必定会爱上它的。

特点：对某一磁盘分区进行加密，开启计算机后，如果你没有打开TrueCrypt 这个软件，这个被加密的分区是不会被显示出来的。打开TrueCrypt ，输入密码后，你就能在”我的电脑“里看到那个被加密的分区了。

第二款：Soureinsight

Soureinsight号称源代码阅读神奇，应该是阅读源代码最方便的软件，至今没有找到其替代产品。

特点：方便阅读项目代码，批量搜索，快捷查询函数调用关系等等。

第三款：Sublime

Sublime号称是史上最性感的编辑器。如果你用过sublime后，估计你就很难再爱上其他编辑软件了。

特点：性感的编辑器，插件丰富，界面清爽。

第四款：Mindmanager

思维导图，据说是每个产品经理必备的软件。如果你阅读大型源代码，使用思维导图跟踪调用流程，绘制软件框架将会非常方便。

特点：没什么好说的，用过的都说好！

第五款：MarkdownPad

MarkdownPad是windows上更好用的Markdown编辑器。有了这货，你可以像写word文档一样写html页面，也是广大博客主的更爱！当然，在mac上有很多高大上的Markdown编辑器。

特点：windows上更好用的Markdown编辑器。

第六款：Beyond compare

Beyond compare是一款文件比较工具，能够比较文件夹或者单个文件。例如，你想比较两个版本的软件源代码在哪些地方有修改，用它就对了。

特点：快捷比对文件或文件夹的不同之处。

第七款：Vim

Vim是Linux上神一样的编辑器，插件丰富，通过配置后，就是一个无比强大的IDE。

特点：Linux上主流编辑器，插件丰富，功能强大。

第八款：Wireshark

Wireshark是广大黑客、 *** 攻城狮的更爱，极大的方便了我们抓取、分析 *** 数据包。包括：ARP、TCP、UDP、HTTP、HTTPS。

特点：只要是跟 *** 相关的东西，Wireshark 是少不了的一个工具。

第九款：Fiddler

Fiddler是一个http协议调试 *** 工具，能够非常方便的查看HTTP通信数据。比如http请求头，响应头，传说数据大小等等。

特点：http协议调试神奇，能够帮助我们理解http协议。

第十款：VMware

VMware虚拟机，如果你是硬件资源有限，那么使用它，你可以一台电脑当N太电脑使用。

特点：最强大的虚拟机平台，可能根据个人喜好，可能有的人会选择virtualBOX，因为它更轻量。

使用HTTPS的网站也能被黑客监听到数据吗？

HTTPS不是牢不可破的。使用HTTPS的网站当然也能被黑客监听到数据。我们就以抓取今日头条PC版和APP来演示一下抓取HTTPS包的 *** 。

一、电脑浏览器抓包，推荐用chrome浏览器。

我们以抓取以今日头条里的搜索海阳顶端头条号数据为例。用chrome打开然后在搜索框里输入海阳顶端四个汉字。先不要点搜索，按下F12，在右侧面板顶上选中Network，再点击搜索按扭。

你会看到我们已经抓取到了在今日头条上搜索海阳顶端的HTTP数据包。我们这次抓到是GET包，URL是：

如果你直接在浏览器里输入这些，会返回一些 *** ON数据:

{"message":"success","data":["海阳顶端","海阳顶端黑客教会你","海阳顶端给你准备好了"]}

里边的success，我们还是看得懂的。而且用chrome，无论是http的还是加密的https数据我们都能抓到。

二、手机抓取浏览器数据包，推荐用HttpInterceptor

我们不用网上教程中的burpsuite和fiddler，两个软件不仅全英文的，而且操作也麻烦，需要电脑和手机配合，我们只需一个HttpInterceptor，国人 *** ，并且只用一个手机就可以。下载地址是装这个软件之前，你需要手机先设定一个锁屏密码。

1、之一次进入程序需要安装CA证书以便进行HTTPS抓包（原理同fiddler，MITM中间人）。现在很多数据包都是https的了，我们必须做这步。安装后程序会让你点击确认按钮，屏幕Toast显示已安装即为成功，可访问进行测试。

2、全局抓包。上边做到的只能抓浏览器的包，要抓APP里的，好比抓今日头条APP的包呢？需要将 *** 手动修改至127.0.0.1:8888，可抓取别的APP的HTTP数据包。长按已连接的WIFI，修改 *** ，显示高级选项，修改 *** 服务器为手动，然后写入 *** 主机名和端口分别为127.0.0.1:8888。

3、一切修改完成后，我们不要关HttpInterceptor，打开今日头条APP后，随便看一篇文章，就在HttpInterceptor里看到抓取的数据了。 我看的是《如何用域名等资料反查企业信息？海阳顶端黑客教会你》这篇文章，这么好的文章，点击量怎么哪么低。我们点击HttpInterceptor主界面的个向上箭头的圆图标：

选中你抓取数据包的哪条URL，再点预览，就出详细数据包了。把这篇文章的参数看得很清楚啦。

这下子，电脑和手机里的浏览器（包括发送http数据的app）抓包你是不是会了呢？这篇文章本来在我的头条号里，我搬过来回答你一下，欢迎大家关注海阳顶端。