第 1章 抓包的用處 1 1.1 Fiddler抓包的應(yīng)用 1 1.2 學(xué)習(xí)HTTP 2 1.2.1 HTTP請(qǐng)求的結(jié)構(gòu) 3 1.2.2 HTTP響應(yīng)的結(jié)構(gòu) 3 1.3 爬蟲 3 1.4 Fiddler在測(cè)試中的作用 5 1.4.1 抓包用于性能測(cè)試 5 1.4.2 抓包用于安全測(cè)試 5 1.4.3 抓包用于接口測(cè)試 6 1.4.4 大量制造測(cè)試數(shù)據(jù) 6 1.4.5 異常測(cè)試 6 1.4.6 排除故障和定位Bug 6 1.5 前端開(kāi)發(fā)人員使用Fiddler調(diào)試Web 8 1.5.1 后端接口Mock 8 1.5.2 AJAX調(diào)試 9 1.5.3 線上調(diào)試 9 1.6 后端開(kāi)發(fā)人員使用Fiddler抓包 9 1.7 安全測(cè)試 9 1.8 檢查網(wǎng)站的簡(jiǎn)單問(wèn)題 10 1.8.1 Fiddler檢查404錯(cuò)誤 10 1.8.2 Fiddler檢查大響應(yīng) 10 1.9 自動(dòng)化小工具的開(kāi)發(fā) 11 1.9.1 購(gòu)票助手 11 1.9.2 自動(dòng)申請(qǐng)賬號(hào)工具 12 1.9.3 Fiddler找回密碼 12 1.9.4 網(wǎng)絡(luò)游戲助手 13 1.10 概念的區(qū)別 13 1.10.1 抓包和錄制的區(qū)別 13 1.10.2 自動(dòng)化測(cè)試和爬蟲的區(qū)別 13 1.10.3 自動(dòng)化測(cè)試和外掛的區(qū)別 13 1.11 本章小結(jié) 13 第 2章 Fiddler如何抓包 14 2.1 Fiddler必須要做的3個(gè)設(shè)置 14 2.1.1 第 1個(gè)設(shè)置：在Fiddler中安裝證書 14 2.1.2 第 2個(gè)設(shè)置：自動(dòng)解壓HTTP響應(yīng) 14 2.1.3 第3個(gè)設(shè)置：隱藏“Tunnel to”請(qǐng)求 15 2.2 不允許抓包 16 2.2.1 某些App抓不到包 16 2.2.2 HTTP請(qǐng)求和響應(yīng)全部加密 16 2.2.3 不讓抓包 16 2.3 Fiddler抓不到包 17 2.3.1 Fiddler的抓包開(kāi)關(guān) 17 2.3.2 瀏覽器抓不到包 17 2.3.3 能抓HTTP不能抓HTTPS的請(qǐng)求 18 2.3.4 抓不到手機(jī)中的包 19 2.3.5 經(jīng)過(guò)上面的設(shè)置，還是抓不到包 20 2.3.6 在macOS中抓包 20 2.3.7 Fiddler證書安裝不成功 20 2.3.8 iOS 10.3以上，手動(dòng)信任證書 21 2.4 Fiddler包太多找不到自己想要的 22 2.4.1 停止抓包 22 2.4.2 只抓手機(jī)，不抓本地的包 22 2.4.3 過(guò)濾會(huì)話 23 2.4.4 只抓特定的進(jìn)程 23 2.4.5 觀察URL和HOST 23 2.4.6 查看進(jìn)程發(fā)包 24 2.5 HTTPS是否安全 24 2.6 計(jì)算機(jī)連接手機(jī)熱點(diǎn)抓包 24 2.7 用Fiddler測(cè)試App升級(jí) 25 2.7.1 App升級(jí)原理 25 2.7.2 App升級(jí)的測(cè)試 26 2.7.3 堅(jiān)果云的升級(jí) 26 2.8 短鏈接 27 2.8.1 短鏈接原理解析 27 2.8.2 使用短鏈接 27 2.8.3 用Fiddler抓包短鏈接 28 2.9 本章小結(jié) 28 第3章 Session分類和查詢 29 3.1 Session的概念 29 3.2 為什么Fiddler中有這么多Session 29 3.3 Session的類型 30 3.4 搜索Session 31 3.4.1 搜索登錄的會(huì)話 31 3.4.2 在請(qǐng)求搜索框中搜索 32 3.5 用命令行工具查詢Session 32 3.5.1 通過(guò)select命令過(guò)濾 32 3.5.2 通過(guò)allbut過(guò)濾 33 3.5.3 通過(guò)“ ”過(guò)濾 33 3.5.4 通過(guò)Session類型的大小來(lái)過(guò)濾 34 3.5.5 通過(guò)“=HTTP方法”過(guò)濾 35 3.5.6 通過(guò)@Host過(guò)濾 35 3.5.7 通過(guò)“=狀態(tài)碼”過(guò)濾 35 3.6 給Session下斷點(diǎn) 36 3.6.1 下斷點(diǎn)攔截HTTP請(qǐng)求 36 3.6.2 下斷點(diǎn)攔截HTTP響應(yīng) 37 3.6.3 及時(shí)取消斷點(diǎn) 37 3.7 本章小結(jié) 37 第4章 FiddlerScript的高級(jí)用法 38 4.1 FiddlerScript的界面 38 4.2 Fiddler的事件函數(shù) 38 4.3 在FiddlerScript中使用正則表達(dá)式 39 4.4 忽略抓包 39 4.5 顯示客戶端和服務(wù)器的IP 40 4.6 顯示響應(yīng)時(shí)間 41 4.7 讀寫本地txt文件 42 4.8 保存請(qǐng)求 42 4.9 重新發(fā)送請(qǐng)求 43 4.10 本章小結(jié) 43 第5章 常見(jiàn)的抓包工具 44 5.1 常見(jiàn)的抓包工具 44 5.2 瀏覽器開(kāi)發(fā)者工具 44 5.2.1 調(diào)出開(kāi)發(fā)者工具 44 5.2.2 用Chrome測(cè)試網(wǎng)頁(yè)加載時(shí)間 45 5.2.3 用Chrome捕獲網(wǎng)站登錄的POST請(qǐng)求 45 5.2.4 用Chrome測(cè)試接口的響應(yīng)時(shí)間 46 5.2.5 過(guò)濾請(qǐng)求 47 5.3 vConsole 47 5.4 Charles抓包工具 48 5.4.1 Charles工具的安裝與使用方法 48 5.4.2 在Charles中安裝根證書 48 5.4.3 Charles配置規(guī)則 50 5.4.4 用Charles捕捉網(wǎng)站登錄的請(qǐng)求 50 5.5 Wireshark抓包工具 51 5.5.1 用Wireshark捕捉HTTP 51 5.5.2 用Wireshark捕捉HTTPS 53 5.6 本章小結(jié) 55 第6章 用Python發(fā)送HTTP請(qǐng)求 56 6.1 requests框架介紹 56 6.1.1 在pip中安裝requests框架 56 6.1.2 在PyCharm中安裝requests框架 56 6.2 發(fā)送GET請(qǐng)求 57 6.2.1 用Fiddler捕獲Python發(fā)出的HTTP請(qǐng)求 58 6.2.2 發(fā)送HTTPS請(qǐng)求 59 6.2.3 發(fā)送帶參數(shù)的GET請(qǐng)求 59 6.2.4 發(fā)送帶信息頭的請(qǐng)求 60 6.3 發(fā)送POST請(qǐng)求 61 6.3.1 發(fā)送普通POST請(qǐng)求 61 6.3.2 發(fā)送JSON的POST請(qǐng)求 61 6.4 會(huì)話維持 62 6.5 用Python發(fā)送各種請(qǐng)求 62 6.6 用Python下載文件 63 6.6.1 用Python下載圖片 63 6.6.2 用Python下載視頻 63 6.7 本章小結(jié) 63 第7章 用正則表達(dá)式提取數(shù)據(jù) 64 7.1 正則表達(dá)式測(cè)試工具 64 7.2 利用正則表達(dá)式提取數(shù)據(jù) 64 7.3 提取訂單號(hào) 64 7.4 提取token字符串 66 7.5 從JSON字符串中提取 67 7.6 提取Cookie字符串 67 7.7 爬蟲提取數(shù)據(jù) 68 7.8 本章小結(jié) 68 第8章 HTTP的9種請(qǐng)求方法 69 8.1 HTTP常見(jiàn)的9種請(qǐng)求方法 69 8.2 HTTP冪等性 69 8.3 9種請(qǐng)求方法的特性 70 8.4 HTTP和數(shù)據(jù)的增刪改查操作的對(duì)應(yīng)關(guān)系 70 8.5 PUT方法 70 8.5.1 POST方法和PUT方法的區(qū)別 71 8.5.2 PUT方法和POST方法的選擇 71 8.6 DELETE方法 71 8.7 HEAD方法 72 8.8 OPTIONS方法 73 8.9 CONNECT方法 73 8.10 PATCH方法 74 8.11 TRACE方法 74 8.12 本章小結(jié) 75 第9章 內(nèi)容類型 76 9.1 Content-Type介紹 76 9.1.1 Content-Type的格式 76 9.1.2 常見(jiàn)的Content-Type 77 9.2 POST提交數(shù)據(jù)的方式 77 9.3 3種常見(jiàn)的POST提交數(shù)據(jù)的方式 78 9.3.1 application/x-www-form- urlencoded 78 9.3.2 application/json 79 9.3.3 text/xml 79 9.4 HTTP中的負(fù)荷 79 9.4.1 請(qǐng)求負(fù)荷 80 9.4.2 響應(yīng)負(fù)荷 81 9.5 錯(cuò)誤的POST提交方法 81 9.6 根據(jù)接口文檔調(diào)用接口實(shí)例 81 9.7 鍵值對(duì)和JSON的混合 82 9.8 本章小結(jié) 83 第 10章 HTTP上傳和下載 84 10.1 HTTP上傳文件的兩種方式 84 10.2 multipart/form-data 84 10.2.1 對(duì)禪道上傳圖片的操作進(jìn)行抓包 85 10.2.2 使用JMeter模擬上傳圖片 87 10.2.3 使用Python上傳圖片 88 10.3 application/octet-stream 88 10.3.1 在博客園的文章中上傳圖片 88 10.3.2 用JMeter模擬博客園上傳圖片 90 10.3.3 用Python模擬博客園上傳圖片 91 10.4 用HTTP下載文件 92 10.4.1 用JMeter下載文件 92 10.4.2 用Python實(shí)現(xiàn)下載文件 93 10.5 HTTP斷點(diǎn)續(xù)傳 94 10.5.1 HTTP請(qǐng)求信息頭 94 10.5.2 HTTP分段實(shí)例 94 10.6 本章小結(jié) 95 第 11章 HTTP對(duì)各種類型程序的抓包 96 11.1 用Fiddler抓取視頻 96 11.2 用Fiddler抓音頻文件 97 11.3 用Fiddler抓Flash 97 11.4 用Fiddler抓公眾號(hào) 98 11.5 用Fiddler抓包小程序 99 11.6 用AJAX抓包 99 11.7 用Fiddler抓包C# 100 11.8 用Fiddler抓包Java 100 11.9 用Fiddler抓包Postman 101 11.10 用Fiddler捕獲macOS 101 11.11 用Fiddler捕獲Linux系統(tǒng) 103 11.12 用Fiddler抓包堅(jiān)果云 103 11.13 本章小結(jié) 104 第 12章 自動(dòng)登錄和登錄安全 105 12.1 登錄的較量 105 12.2 登錄的風(fēng)險(xiǎn) 105 12.2.1 冒用他人賬戶登錄 106 12.2.2 賬戶和密碼在傳輸過(guò)程中被截獲 106 12.2.3 密碼被破解 106 12.2.4 系統(tǒng)被爬蟲軟件或者腳本自動(dòng)登錄 106 12.3 登錄的風(fēng)控 106 12.4 登錄用GET還是POST 106 12.4.1 GET方法的缺點(diǎn) 107 12.4.2 POST比GET安全 107 12.4.3 使用GET方法登錄的網(wǎng)站 108 12.5 安全的原則 108 12.6 使用POST方法登錄的網(wǎng)站 109 12.7 登錄響應(yīng)攜帶隱藏的token字符串 110 12.8 用JavaScript中的MD5給密碼加密 112 12.9 用JavaScript動(dòng)態(tài)加密密碼 114 12.9.1 繞開(kāi)JS混淆密碼 115 12.9.2 JS混淆密碼總結(jié) 116 12.10 短信驗(yàn)證碼登錄 116 12.11 二維碼掃碼登錄 117 12.12 拼圖登錄 117 12.13 普通圖片驗(yàn)證登錄 117 12.14 獨(dú)特的驗(yàn)證方式 118 12.15 本章小結(jié) 119 第 13章 圖片驗(yàn)證碼識(shí)別 120 13.1 圖片驗(yàn)證碼 120 13.1.1 圖片驗(yàn)證碼原理 121 13.1.2 圖片識(shí)別介紹 121 13.1.3 Tesseract的安裝與使用 121 13.1.4 Tesseract的使用 122 13.1.5 pytesseract的使用 122 13.2 用Python實(shí)現(xiàn)圖片驗(yàn)證碼登錄 123 13.3 本章小結(jié) 124 第 14章 綜合實(shí)例——自動(dòng)點(diǎn)贊 125 14.1 給文章自動(dòng)點(diǎn)贊 125 14.1.1 拼圖驗(yàn)證方式 125 14.1.2 直接使用Cookie繞過(guò)登錄 126 14.1.3 分析點(diǎn)贊的HTTP請(qǐng)求 126 14.2 用JMeter實(shí)現(xiàn)博客園文章自動(dòng)點(diǎn)贊 129 14.3 使用Python實(shí)現(xiàn)博客園文章自動(dòng)點(diǎn)贊 130 14.4 本章小結(jié) 131 第 15章 前端和后端 132 15.1 Web架構(gòu)圖 132 15.2 前端開(kāi)發(fā)和后端開(kāi)發(fā)的區(qū)別 133 15.2.1 展示方式不同 133 15.2.2 運(yùn)行不同 133 15.2.3 全棧工程師 133 15.2.4 前端和后端分離 134 15.3 前端驗(yàn)證和后端驗(yàn)證 134 15.3.1 前端驗(yàn)證 134 15.3.2 后端驗(yàn)證 135 15.3.3 前端驗(yàn)證和后端驗(yàn)證都需要 136 15.4 后端驗(yàn)證的Bug 136 15.5 Fiddler繞過(guò)前端實(shí)現(xiàn)投票 137 15.6 后臺(tái)和后臺(tái)管理的區(qū)別 138 15.7 本章小結(jié) 139 第 16章 接口和接口測(cè)試 140 16.1 接口的概念 140 16.1.1 后端接口 140 16.1.2 在線英語(yǔ)App示例 141 16.1.3 “我的訂單”的前端和接口 141 16.2 登錄接口示例 142 16.3 接口文檔的維護(hù) 143 16.3.1 用Word文檔維護(hù) 143 16.3.2 用Wiki頁(yè)面維護(hù) 143 16.3.3 Swagger 143 16.3.4 調(diào)用接口的方式 145 16.4 接口測(cè)試的工具 145 16.5 接口測(cè)試的本質(zhì) 146 16.6 接口測(cè)試的目的 147 16.6.1 接口測(cè)試的優(yōu)勢(shì) 147 16.6.2 接口測(cè)試是必需的嗎 147 16.6.3 接口測(cè)試需要的知識(shí) 148 16.6.4 接口測(cè)試的流程 148 16.6.5 接口測(cè)試的測(cè)試內(nèi)容 148 16.6.6 后端接口和前端測(cè)試是否重復(fù) 149 16.7 登錄接口的測(cè)試用例 149 16.8 接口測(cè)試是自動(dòng)化測(cè)試嗎 149 16.9 如何設(shè)計(jì)接口測(cè)試用例 150 16.10 接口內(nèi)部狀態(tài)碼 151 16.11 本章小結(jié) 152 第 17章 JSON數(shù)據(jù)格式 153 17.1 JSON格式在接口中的應(yīng)用 153 17.2 JSON的概念 153 17.3 JSON的應(yīng)用場(chǎng)合 153 17.4 JSON的語(yǔ)法 154 17.5 JSON值的類型 154 17.6 JSON應(yīng)該使用雙引號(hào) 154 17.7 JSON數(shù)組 155 17.8 JSON的嵌套 155 17.9 JSON格式錯(cuò)誤 156 17.10 JSON解析工具 156 17.10.1 在線的解析工具 156 17.10.2 Notepad++格式化JSON 156 17.10.3 在JMeter中格式化JSON 157 17.10.4 在Fiddler中格式化JSON 157 17.11 拼接JSON字符串 158 17.12 JMeter中的JSON提取器 159 17.13 本章小結(jié) 160 第 18章 HTTP和RESTful服務(wù) 161 18.1 什么是RESTful 161 18.2 RESTful的優(yōu)點(diǎn) 162 18.3 RESTful的主要原則 162 18.3.1 以資源為核心 162 18.3.2 每個(gè)資源分配唯一的URL 163 18.3.3 通過(guò)標(biāo)準(zhǔn)的HTTP（HTTPS）方法操作資源 163 18.3.4 過(guò)濾信息 164 18.3.5 資源的表現(xiàn)層可以是XML、JSON或者其他 164 18.3.6 認(rèn)證機(jī)制 165 18.3.7 錯(cuò)誤處理 165 18.4 本章小結(jié) 165 第 19章 用Postman測(cè)試分頁(yè)接口 166 19.1 接口介紹 166 19.2 設(shè)計(jì)測(cè)試用例 167 19.3 用Postman實(shí)現(xiàn)接口自動(dòng)化 167 19.3.1 Postman介紹 167 19.3.2 Postman的使用 167 19.4 接口測(cè)試的發(fā)展方向 170 19.5 本章小結(jié) 170 第 20章 用JMeter測(cè)試單個(gè)接口 171 20.1 JMeter介紹 171 20.2 添加客房接口介紹 171 20.3 設(shè)計(jì)接口的測(cè)試用例 172 20.4 JMeter的操作過(guò)程 172 20.5 數(shù)據(jù)驅(qū)動(dòng)測(cè)試 175 20.6 本章小結(jié) 177 第 21章 接口的token認(rèn)證 178 21.1 接口的認(rèn)證 178 21.2 token認(rèn)證 178 21.2.1 調(diào)用天氣預(yù)報(bào)接口 180 21.2.2 token和Cookie的區(qū)別 181 21.3 token和Cookie一起用 182 21.4 在JMeter中如何處理token字符串 182 21.5 接口的三大安全性問(wèn)題 185 21.6 請(qǐng)求參數(shù)被篡改 186 21.7 重放攻擊 186 21.7.1 在Fiddler中進(jìn)行重放攻擊 187 21.7.2 UNIX時(shí)間戳 187 21.7.3 接口帶時(shí)間戳和簽名 188 21.8 本章小結(jié) 188 第 22章 發(fā)包常見(jiàn)的錯(cuò)誤 189 22.1 發(fā)包的本質(zhì) 189 22.2 對(duì)比HTTP請(qǐng)求 189 22.3 用JMeter發(fā)包常見(jiàn)的錯(cuò)誤 190 22.3.1 輸入的網(wǎng)址錯(cuò)誤 190 22.3.2 端口號(hào)填錯(cuò) 191 22.3.3 協(xié)議錯(cuò)誤 191 22.3.4 變量取值錯(cuò)誤 191 22.3.5 服務(wù)器返回404錯(cuò)誤 192 22.3.6 服務(wù)器返回400錯(cuò)誤 192 22.3.7 服務(wù)器返回500錯(cuò)誤 192 22.4 Postman發(fā)包常見(jiàn)問(wèn)題 193 22.5 JMeter和Postman的區(qū)別 193 22.6 接口測(cè)試尋求幫助 194 22.7 本章小結(jié) 195 第 23章 秒殺活動(dòng)的壓力測(cè)試 196 23.1 秒殺活動(dòng)的壓力測(cè)試方案 196 23.1.1 秒殺的原理 196 23.1.2 測(cè)試目標(biāo) 197 23.1.3 業(yè)務(wù)分析 197 23.1.4 測(cè)試指標(biāo) 197 23.2 使用Fiddler來(lái)測(cè)試秒殺活動(dòng) 198 23.2.1 用Fiddler重新發(fā)送HTTP請(qǐng)求 198 23.2.2 用Fiddler測(cè)試秒殺活動(dòng)的思路 198 23.2.3 用Fiddler測(cè)試優(yōu)惠券 199 23.2.4 單線程還是多線程 201 23.2.5 分辨腳本和用戶 201 23.3 捕獲App上的優(yōu)惠券活動(dòng) 201 23.4 使用JMeter來(lái)測(cè)試秒殺活動(dòng) 202 23.5 壓力測(cè)試報(bào)告 203 23.6 本章小結(jié) 204 第 24章 用Fiddler和JMeter進(jìn)行 性能測(cè)試 205 24.1 性能測(cè)試概述 205 24.2 Web頁(yè)面加載時(shí)間測(cè)試 206 24.2.1 258原則 206 24.2.2 實(shí)例：博客園頁(yè)面加載時(shí)間測(cè)試 206 24.3 接口的響應(yīng)時(shí)間測(cè)試 208 24.4 視頻播放的性能測(cè)試 210 24.5 模擬5個(gè)用戶同時(shí)登錄網(wǎng)站 210 24.6 模擬5個(gè)不同的用戶同時(shí)登錄網(wǎng)站 212 24.7 本章小結(jié) 213 第 25章 HTTP中的支付安全測(cè)試 214 25.1 修改支付價(jià)格 214 25.2 漏洞發(fā)生的原因 215 25.3 支付漏洞的解決方法 216 25.3.1 前端不傳遞金額 216 25.3.2 簽名防止數(shù)據(jù)被篡改 217 25.4 修改充值金額測(cè)試 217 25.5 多線程提現(xiàn)測(cè)試 218 25.6 轉(zhuǎn)賬金額修改測(cè)試 219 25.7 重復(fù)支付 220 25.8 本章小結(jié) 221 第 26章 Web安全滲透測(cè)試 222 26.1 敏感信息泄露測(cè)試 222 26.2 重置密碼測(cè)試 222 26.3 修改任意賬號(hào)的郵箱密碼 225 26.4 Cookie是否是HttpOnly屬性 225 26.5 越權(quán)訪問(wèn)漏洞 226 26.6 資源必須登錄才能訪問(wèn) 227 26.7 修改VIP會(huì)員到期時(shí)間 228 26.8 本章小結(jié) 229 第 27章 綜合實(shí)例——自動(dòng)提交訂單 230 27.1 背景 230 27.2 回歸測(cè)試 230 27.3 讓回歸測(cè)試自動(dòng)化 231 27.4 產(chǎn)品的架構(gòu) 231 27.5 自動(dòng)化測(cè)試方案 231 27.6 哪些測(cè)試用例可以自動(dòng)化 232 27.7 下單的測(cè)試用例 233 27.8 用JMeter實(shí)現(xiàn)自動(dòng)提交訂單 233 27.9 用Python實(shí)現(xiàn)自動(dòng)提交訂單 236 27.10 用JMeter實(shí)現(xiàn)自動(dòng)取消訂單 237 27.11 用Python實(shí)現(xiàn)自動(dòng)取消訂單 239 27.12 模擬100個(gè)用戶同時(shí)下1000個(gè)訂單 240 27.13 本章小結(jié) 241 第 28章 綜合實(shí)例——自動(dòng)申請(qǐng)賬號(hào) 242 28.1 一鍵申請(qǐng)賬號(hào) 242 28.2 用JMeter實(shí)現(xiàn)自動(dòng)創(chuàng)建用戶 245 28.3 本章小結(jié) 248 第 29章 綜合實(shí)例——自動(dòng)簽到領(lǐng)積分 249 29.1 自動(dòng)簽到的思路 249 29.2 手機(jī)抓包 249 29.3 某電商簽到領(lǐng)豆子 249 29.4 某金融App簽到 251 29.5 自動(dòng)運(yùn)行腳本 252 29.5.1 Python腳本利用Windows計(jì)劃定時(shí)執(zhí)行 252 29.5.2 在Jenkins中定時(shí)執(zhí)行 253 29.6 本章小結(jié) 253 第30章 綜合實(shí)例——App約課助手 254 30.1 App約課助手的思路 254 30.2 自動(dòng)化方案 254 30.3 模擬App端還是Web端 254 30.4 網(wǎng)課約課助手開(kāi)發(fā) 255 30.4.1 第 1步：模擬登錄 255 30.4.2 第 2步：獲取課程ID 258 30.4.3 第3步：約課 259 30.5 本章小結(jié) 260