一、下載及安裝Postman
Postman是一個作為 API 開發環境,使得測試 API 更簡單的工具。首先需要通過以下鏈接下載並安裝Postman:
https://www.postman.com/downloads/下載完成後,雙擊 exe 文件安裝即可。
二、使用Postman發送請求
在Postman中發送 GET 請求非常簡單。使用以下步驟:
1. 打開Postman,點擊左上角的“+”按鈕,新建 Request。
2. 在 Request 的 URL 右側,選擇“GET”請求。
3. 輸入請求的 URL。這裡我們以“https://jsonplaceholder.typicode.com/todos/1”作為示例。
4. 點擊 Send 按鈕,即可發送請求。
三、使用Postman進行破解
要破解Postman,需要通過Fiddler進行抓包分析。下面演示使用Postman進行登錄運維後台的破解示例:
1. 安裝和啟動Fiddler
首先需要從以下鏈接下載Fiddler,並按照提示進行安裝:
https://www.telerik.com/download/fiddler/fiddler4安裝完成後,啟動Fiddler。
2. 配置Fiddler
在 Fiddler 中,點擊“Tools”菜單,並選擇“Telerik Fiddler Options”選項。在彈出的對話框中選擇“HTTPS”選項卡,並勾選“Decrypt HTTPS traffic”複選框。
之後,需要單擊“Connections”選項卡並確保“Allow remote computers to connect”複選框被勾選。
上述配置完成後,單擊窗口右上角的“X”按鈕關閉配置窗口並重啟 Fiddler。
3. 運維後台破解示例
運維後台接口需要在登錄前通過 cookie 獲取 token,並在後續請求中攜帶 token 訪問,如下所示:
//步驟1:獲取token
POST /user/login HTTP/1.1
Host: xxx.xxx.xxx.xxx:xx
Content-Type: application/json
User-Agent: PostmanRuntime/7.11.0
Accept: */*
Cache-Control: no-cache
Postman-Token: 2646bf50-6ce0-48b0-b6ad-d25936b1d80f,72e4f9e2-feb8-44a1-bae5-c2484b915c24
Host: xxx.xxx.xxx.xxx:xx
accept-encoding: gzip, deflate
content-length: 62
Connection: keep-alive
{
"loginName": "userName",
"password": "password"
}
// 步驟2:攜帶token進行訪問
GET /api/reserve/campusManagement?_dc=1569398855363 HTTP/1.1
Host: xxx.xxx.xxx.xxx:xx
Connection: keep-alive
Accept: */*
User-Agent: Mozilla/5.0 AppleWebKit/537.36 Chrome/77.0.3865.90 Safari/537.36
Referer: http://xxx.xxx.xxx.xxx:xx/main
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: token=myToken;這裡需要注意,步驟1與步驟2分別對應POST和GET請求,其中步驟1用於獲取Token,步驟2則需要在cookie中攜帶Token。其中,token=myToken 是指獲取到的 Token 內容。
4. 獲取Token
通過 Fiddler 開啟抓包,並在 POST 請求中填入登錄信息。然後返回 Fiddler 界面,在 Request list 中找到對應的 POST 請求,並查看 WebForms 選項卡中的 Form 數據,如下所示:
loginName=userName&password=password登錄信息中的 loginName 和 password 都可以直接明文識別。接下來,需要查看 Response 中的 Cookie,獲取返回的 Token。使用“Edit Response”輸入框,對 Response 進行分析。在此處應該可以看到服務器返回的內容,其中應該會有一個Token,如下所示:
{
"code":0,
"message":"登錄成功",
"data":{
"age":null,
"sex":null,
"userType":null,
"loginName":"xxx",
"id":xxx,
"token":"myToken",
"userName":"xxx"
}
}5. 運維後台接口請求
使用以上步驟中獲取到的 Token 進行後續接口訪問。將 Cookie 中的 token 值改為獲取到的 Token,並進行 GET 請求,如下所示:
GET /api/reserve/campusManagement?_dc=1569398855363 HTTP/1.1
Host: xxx.xxx.xxx.xxx:xx
Connection: keep-alive
Accept: */*
User-Agent: Mozilla/5.0 AppleWebKit/537.36 Chrome/77.0.3865.90 Safari/537.36
Referer: http://xxx.xxx.xxx.xxx:xx/main
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: token=myToken;四、小結
通過以上步驟,可以在 Postman 工具中實現 API 接口請求自動化,同時可以使用 Fiddler 工具對接口進行抓包和分析。
原創文章,作者:GZSOL,如若轉載,請註明出處:https://www.506064.com/zh-hant/n/330314.html
微信掃一掃 
支付寶掃一掃 