fiddler
作用:对发送与接收的数据包进行截获、重发、编辑等操作
1.端口设置为8888
2.在设置中安装HTTPS证书
3.在浏览器设置中设置可代理(127.0.0.1:8888)
可对webview/request headers/cookies/raw等数据分析
fiddler对app抓包
1.勾选HTTPS:Tools → Options → HTTPS
2.设置监听端口:Tools → Options → Connections
3.连接PC wifi
4.手机配置代理(服务器为pc的ip,设置端口)
5.手机与电脑打开loadhost:端口号(网页)安装证书
6.抓包OK
1.查看web表单的隐藏的字段,用于规避CRSF攻击、爬虫等用途
2.了解协议内容,便于接口与性能测试,也便于了解整个系统
3.检查数据的安全加密传输
4.判断BUG前后端
post与get
- 最主要的是安全问题,get的数据在URL中,直接可视直接被浏览器记录,被脚本去抓取,而且有一定的格式限制,那就是只能为ASCII字符类型,在Post中,数据存在于Body中,而且不用限定格式,get的数据页面刷新依旧存在而post的数据不会
POST提交数据时四种常见的数据格式
- application/x-www-form-urlencoded 原生表单格式
- multipart/form-data 表单格式
- application/json json格式
- text/xml 文本
外包与自研
- 项目外包:帮甲方做项目(整个或一部分),地点在本公司或甲方安排
- 人力外包:甲方向乙方(类中软)借人,工资由乙方出,乙方从甲方的项目费用和员工薪资中间赚差价
- 自研:以自主技术研发为主,业务重逻辑
HTTP/TCP/UDP
- HTTP:超文本传输协议(Hypertext Transfer Protocol),3W文件都必须遵守它
- TCP:传输控制协议(Transmission Control Protocol),一种面向连接、可靠的基于字节流的传输层通信协议在简化的计算机网络OSI模型中,它完成第四层传输层所指定的功能,UTP也是处于同层。在因特网协议族中,TCP层位于IP层之上,应用层下。不同主机的应用层之间经常需要可靠的,像管道一样的连接,but IP层不提供这样的流机制,而只是提供不可靠的包交换
- UDP:用户数据报协议(User Datagram Protocol),主要面向事务非连接,它不提供数据包分组、组装及数据包进行排序等功能,所以在报文发送后发送端无法得知它是否安全到达
- TCP的三次握手
