4月份,看到淘宝上的抢单链接,专门抢拍品优惠券,比如读书日的当当网打完折后满200-100的券,一共有100张,但是普通用户单独存粹地在页面点,压根儿抢不到;
基于此,开始想抓包分析,
初步猜测是:一个带有商品的http请求直接生成一个订单号,
请求要能正确,必须带有个人登录标识,token之类信息;
必须带有商品信息,商品编码;
带着这样的想法,有空的时候尝试了很多抓包工具;
Badboy以前就用过,支持windows上对PC web页面抓包还不错;但后来电脑升级到win10,总是失败了,弹出的alert框始终不能清除掉,脚本也没有办法保存了
BlazeMeter: 带有firefox和Chrome的插件,要开代理用;不是太好用,不能对所有页面抓包
Jmeter录制: 对http/https都能够抓包,对手机app,微信小程序也能抓包;PS 有一些框架TSL貌似就不支持珠宝,比如对微信聊天信息抓包,都是乱的; jmeter生成的证书7天有效,之后需要重新生成,ssl重新同意一下
Charles 由于MAC安装Fidder不方便,就安装了Charles,自己也没有去寻找破解版,Charles试用版会在每30分钟后重启,几分钟出个页面delay一下,我觉得完全不影响使用。用久了觉得这个还不错,Charles抓手机APP只要在手机上安装charles证书即可。而且Charles能将请求分类。
Fidder
BurpSuite 下载来试用版,试用过。印象不深。
WireShark 貌似一种免费版不能抓请求,专业版收费才能看到具体http/https请求。
个人觉得Jmeter比较容易上手,而且会将各种请求头都以http header manager保存下来,可以看到请求的顺序,和返回。
Charles也很好用,可以在breakpoint模式下直接在抓包的过程中篡改数据。
而且这两款支持windows,mac
简单的东西上手,容易成功,容易获得成就感。
兴趣是最好的老师。