前后端交互Fiddler篡改数据介绍

author：韩皖

createTime：2022-9-23

updateTime: 2022-9-28

培训结束时间：2022-9-28

1.1 软件简介

Fiddler 是一个 http 调试代理，它能 够记录所有的你电脑和互联网之间的 http 通讯，Fiddler 可以也可以让你检查所有的 http 通讯，设置断点，以及 Fiddle 所有的 “进出” 的数据（指 cookie,html,js,css 等文件，这些都可以让你胡乱修改的意思）。 Fiddler 要比其他的网络调试器要更加简单，因为它仅仅暴露 http 通讯还有提供一个用户友好的格式。

1.2 Fiddler下载和配置

Fiddler官网下载地址 https://www.telerik.com/download/fiddler

配置：对指定host配置拦截

1.3 Fiddler实战

本章节主要用Fiddler对我们近期开发的项目以色列4G模块管理系统，进行数据篡改测试。

包含两方面的内容：篡改请求返回数据、篡改请求数据让普通用户获取系统超级权限。

1.3.1 篡改表单返回数据

在Fiddler-Classic软件中 选择Rules>>>Automatic Breakpoints>>>After Responses

则对配置的连接请求进行拦截

对比前后修改

1.3.2 篡改请求数据拿到超级权限

用普通用户hanwan登录，前端展示界面如下

通过拦截修改请求参数获取超级权限

在Fiddler-Classic软件中 选择Rules>>>Automatic Breakpoints>>>Before Responses

修改后点击Run to Completion放行请求,拿到所有菜单权限

后续：如此不堪一击，系统的数据安全如何防护？