web应用安全之抓包实验

　　当今世界，已经是互联网的时代，而网络，正是由一个个网站构成，网站，则是由一个个网页组成。网页的形成，离不开web这门技术。而web应用安全这门学科，正是维护web前端开发和后端开发的安全和稳定的。我围绕这门学科做了一系列实验，最主要也是最基本的实验就是浏览器的抓包实验。而我使用的浏览器是火狐浏览器，抓包用的软件是Burp和Fiddler4这两个软件。

　　要想更好的完成这个实验，首先要做的是代理服务器的下载和配置。代理服务器是网络信息的中转站，它具有共享网络的功能，还能提高访问速度，突破访问限制。我使用Burp去捕获HTTPS的会话，HTTPS就是加过密的HTTP，使用HTTPS后，浏览器客户端和web服务器传输的数据是加密的，只有浏览器和服务器端知道内容。采用HTTPS的网站需要去CA办理证书。通过这个证书，浏览器在请求数据前与Web 服务器有几次握手验证，以证明相互的身份，然后对HTTP 请求和响应进行加密。再就是使用Fiddler4对火狐浏览器进行断点抓包。据我所知，Burp不具备这个功能。Fiddler则更加全面。设置断点，拦截HTTP 响应也有2 种方法，第一种是全局断点。启动Fiddler ， 单击Rules -> Automatic Breakpo四”＞ A企er Response 。这种方法会中断所有的会话。要想取消全局断点，可以单击Rules -> Automatic Breakpoint -> Disabled 。第二种是单个断点。在命令行中输入命令“ bpafter www.baidu.com ＂ 。这种方法只会中断www .b aidu.com 。要想消除单个断点，可以在命令行中输入命令“ bpafter ”。Fiddler还可以修改HTTP的请求。启动Fiddler，在菜单栏中单击Rules -> Automatic Breakpoint -> Before Requests 。打开浏览器， 输入“ www.163.com ”，这时候你会发现任务栏上的Fiddler 图标在闪烁，说明Fiddler 拦截住了HTTP 请求。回到Fiddler 界面， 在菜单栏中单击Rules＞ Automatic Breakpoint->Disable （因为己经拦截住想要的HTTP 请求了，其他HTTP 请求就不需要拦截了。被拦截的HTTP 请求有一个红色的T图标，选中需要修改的HTTP 请求， 选中“ Inspectors ＂面板， 使用Raw 选项卡（ 必须要在Raw 选项卡下才能修改） 。把URL 修改为“ www.cnblogs.com/tankxia”，同时把HOST修改为“ www. cnblogs.com，然后单击绿色的“ Run to Completion ”按钮放行。成功打开了博客园的页面。

　　这就是我对于这两个软件的认识，如果有不完整的地方或者有需要改进的地方，希望得到大家的留言指导，谢谢大家的阅读。