本篇文章給大家談談微信小程序開發(fā)者工具抓包，以及微信小程序抓包軟件對應的知識點，希望對各位有所幫助，不要忘了收藏本站喔。

怎么對微信小程序抓包

網(wǎng)絡抓包軟件（macOS上的Charles和Windows上的Fiddler都可以，這里用Charles）

小程序模擬網(wǎng)絡環(huán)境

一、在微信開發(fā)者工具，模擬WiFi或者移動網(wǎng)絡

1、點擊模擬器手機圖標，默認WiFi，點擊可以切換2G、3G、4G網(wǎng)絡，也可以模擬斷網(wǎng)Offline；

二、在微信開發(fā)者工具，模擬網(wǎng)絡具體速度，比如弱網(wǎng)

1、Network選擇Slow 3G，也可以下面選擇自定義，操作之后可以明顯看到請求響應時間變長了；

三、Filddler配合微信開發(fā)者工具抓包和模擬弱網(wǎng)環(huán)境

1、可以參考：

微信小程序爬蟲和網(wǎng)頁爬蟲的區(qū)別

微信小程序爬蟲和網(wǎng)頁爬蟲的抓包工具不同。根據(jù)查詢相關資料信息，網(wǎng)頁版可以使用瀏覽器F12抓包，微信小程序需要采用抓包工具如charles抓包。

微信小程序怎么抓包

1、首先在手機端將小程序分享到電腦端

2、接著安裝fiddler

?3、點擊file下面的第一個選項

4、左下角顯示capturing代表正在抓包

5、在電腦端訪問小程序

6、最后就可以抓到數(shù)據(jù)請求包了。

?

stream如何抓包微信

背景：每天都有玩家問某汪Token怎么抓？小姐姐今天來給你支招！從此抓包不求人~ 暫時介紹IOS平臺方法，安卓用戶可以直接溜走了。

某汪token抓包詳解

終極秘籍：微信小程序“來客有禮”，點擊底部“我的”或“發(fā)現(xiàn)”時抓包。

實操步驟

1、微信搜索“來客有禮小程序”?打開抓包神器“Stream”-開始抓包?回到微信“來客有禮”?點擊底部的“我的”或“發(fā)現(xiàn)”?回到“Stream”停止抓包

2、在“Stream”點擊抓包歷史?右上方搜索“BEAN”?進入篩選出來的Post?找到“LKYLToken”參數(shù)?復制參數(shù)?登錄青龍面板-配置文件-輸入下面環(huán)境變量，雙引號中間的值即剛剛找到的token

前端抓手機抓包可以看頁面樣式嗎

時隔 3 年，重新接觸了移動端 h5 頁面開發(fā)，上一次還是大四實習。這一次是 hybrid 開發(fā)，涉及到 h5 頁面與原生 app 的交互，h5 頁面需要與原生打通登錄態(tài)，以及調(diào)用原生app 的接口，比如調(diào)用原生相機進行二維碼掃描。跟微信小程序開發(fā)不同，本地開發(fā)時微信有提供微信開發(fā)者工具，可以本地模擬調(diào)用而我這邊需要每次都打包靜態(tài)文件，上傳服務器才能調(diào)試，非常麻煩。

能不能在原生 app 加載線上 h5 時，跑本地的代碼呢？答案是可以的，通過抓包工具比如 whistle 就可以做到攔截線上頁面請求數(shù)據(jù)，再響應本地代碼，本文主要講述抓包的原理和抓包工具 whistle 使用。

1. 抓包的原理

1.1 什么是抓包？

抓包就是將網(wǎng)絡傳輸發(fā)送與接收的數(shù)據(jù)包進行截獲、重發(fā)、編輯、轉(zhuǎn)存等操作，通過抓包可以：

分析網(wǎng)絡問題

業(yè)務分析

分析網(wǎng)絡信息流通量

網(wǎng)絡大數(shù)據(jù)金融風險控制

探測企圖入侵網(wǎng)絡的攻擊

探測由內(nèi)部和外部的用戶濫用網(wǎng)絡資源

探測網(wǎng)絡入侵后的影響

監(jiān)測鏈接互聯(lián)網(wǎng)寬頻流量

監(jiān)測網(wǎng)絡使用流量（包括內(nèi)部用戶，外部用戶和系統(tǒng)）

監(jiān)測互聯(lián)網(wǎng)和用戶電腦的安全狀態(tài)

滲透與欺騙

...

回顧下計算機網(wǎng)絡知識，數(shù)據(jù)在網(wǎng)絡上是以很小的幀的單位傳輸?shù)?，幀通過特定的稱為網(wǎng)絡驅(qū)動程序的程序進行成型，然后通過網(wǎng)卡發(fā)送到網(wǎng)線上，通過網(wǎng)線到達目的機器，在目的機器的一端執(zhí)行相反的過程。接收端機器的以太網(wǎng)捕獲到這些幀，并告訴操作系統(tǒng)幀已到達，然后對其進行存儲。在這個傳輸和接收的過程，就可以使用抓包工具（Sniffers）進行抓包，作為前端開發(fā)者，通常是抓取應用層的 HTTP/HTTPS 的包。

?

1.2 HTTP/HTTPS 抓包原理

HTTP/HTTPS 是應用層使用的通信協(xié)議，常見的應用層體系結(jié)構(gòu)是客戶端-服務器體系。

對運行在不同端系統(tǒng)上的客戶端程序和服務端程序是如何互相通信的么？實際上，在操作系統(tǒng)上的術(shù)語中，進行通信的實際上是進程而不是程序，一個進程可以被認為是運行在端系統(tǒng)中的一個程序。

在 web 應用程序中，一個客戶瀏覽器進程與一臺服務器進程進行會話交換報文。

瀏覽器進程需要知道接收進程的主機地址，以及定義在目的主機中的接收進程的標識符，也就是目的端口。

多數(shù)應用程序由通信進程對組成，每對中的兩個進程互相發(fā)送報文。進程通過一個稱為套接字的軟件接口向網(wǎng)絡發(fā)送報文和從網(wǎng)絡接收報文。

進程可以類比一座房子，而它的套接字可以是它的門，套接字是應用層與運輸層之間的端口。

?

知道了兩個進程的通信流程，我們要怎么抓包呢？舉一個生活中的例子，小明暗戀小雯，于是他寫了一封情書，但他有點害羞，找了小雯的好朋友小花幫忙傳遞情書。這個時候，小花可以負責小雯與小明之間的情書傳遞，作為中間人，她可以偷偷查看他們的情書內(nèi)容。

思路就是設置一個中間人進程負責抓包，每次目標進程之間的會話都先與中間人進程通信，再進行轉(zhuǎn)發(fā)。

?

1.2.1 HTTP 抓包原理

在 http 標準中，沒有對通信端身份驗證的標準。對于服務器來說，它接收的 HTTP 請求報文只要格式符合規(guī)范，就發(fā)送響應報文。

對于客戶端來說也是如此，它無法校驗服務器的身份，比如它連接的 的主機，但由于中間節(jié)點的存在，最終連接的可能是 的主機。

因此，對于 HTTP 抓包，無需做過多的處理，只需要讓中間人負責轉(zhuǎn)發(fā)客戶端和服務端的數(shù)據(jù)包。

1.2.2 HTTPS 抓包原理

HTTP 是明文傳輸，容易受到中間人攻擊，不安全。

HTTPS 語義仍然是 HTTP，只不過是在 HTTP 協(xié)議棧中 http 與 tcp 之間插入安全層 SSL/TSL。

安全層采用對稱加密的方式加密傳輸數(shù)據(jù)和非對稱加密的方式來傳輸對稱密鑰，解決 http 數(shù)據(jù)沒有加密、無法驗證身份、數(shù)據(jù)容易纂改三個核心問題。

HTTP + 加密 + 認證 + 完整性保護 = HTTPS

其中驗證身份問題是通過驗證服務器的證書來實現(xiàn)的，證書是第三方組織（CA 證書簽發(fā)機構(gòu)）使用數(shù)字簽名技術(shù)管理的，包括創(chuàng)建證書、存儲證書、更新證書、撤銷證書。

?

瀏覽器連接至一個 HTTPS 網(wǎng)站，服務器發(fā)送的不僅僅只是服務器實體證書，而是一個證書鏈，但不包含根證書，根證書會被內(nèi)嵌在 Windows, Linux, macOS, Android, iOS 這些操作系統(tǒng)里。

?

其中校驗證書分為兩步，證書的簽發(fā)者校驗和服務器實體證書校驗

1、證書鏈校驗：

1.1 瀏覽器從服務器實體證書的上一級證書（比如 B 證書）獲取公鑰，用來校驗服務器實體證書的簽名（簽名是通過 CA 機構(gòu)的私鑰簽名的），校驗成功則繼續(xù)，否則證書校驗失敗。

1.2 瀏覽器從 B 證書的上一級證書（比如 C 證書）獲取公鑰，用來校驗 B 證書的簽名，

校驗成功則繼續(xù)，否則證書校驗失敗。

1.3 瀏覽器迭代校驗每張證書的簽名，最后會找到自簽名的根證書（簽發(fā)者和使用者是同一個人），由于瀏覽器已經(jīng)集成了根證書，可以充分信任根證書的公鑰，完成最后的簽名。

2、服務器實體證書校驗：訪問的域名信息是否與證書一致、日期、證書擴展校驗等。

了解完證書校驗后，我們來看看具體的 https 通信流程：

首先是 tcp 的三次握手建立連接

接著是非對稱加密的握手過程

client 發(fā)送隨機數(shù) random1 + 支持的加密算法集合

server 收到信息，返回選擇的一個加密算法+ 證書 （包含S_公鑰） + random2

client 驗證證書有效性，并用 random1 + random2 生成 pre-master-secure，通過服務端公鑰加密發(fā)送給 server

server 收到 pre-master-secure，根據(jù)約定的算法使用S_私鑰對 pre-master-secure 解密，

然后用加密算法生成 master-secure（對稱加密的密鑰），然后發(fā)送給 client

client 收到生成的 master-secure，對稱加密密鑰傳輸完畢

最后，就可以使用 master-secure 進行真正的數(shù)據(jù)對稱加密傳輸。

中間人想要抓包，需在 HTTPS 加密通信之前：

截取客戶端發(fā)送的包含證書的報文，偽裝成服務端，把自己的證書發(fā)給客戶端，然后拿到【客戶端返回的包含對稱加密通信密鑰的報文】，生成中間人與客戶端對稱加密的密鑰。

同樣偽裝成客戶端，以服務端自己的非對稱公鑰加密【客戶端返回的包含對稱加密通信密鑰的報文】發(fā)給服務端，獲得服務端生成的對稱加密密鑰。

這樣一來，加密通信建立完成，而中間人拿到了通信的數(shù)據(jù)密鑰，可以查看、修改 HTTPS 的通信報文。

這里客戶端與中間人通信、中間人與服務端通信，都是正常建立了 HTTPS 加密連接的。

?

其中很重要的一步是瀏覽器的根證書校驗，CA 機構(gòu)不可能隨便給一個中間人簽發(fā)不屬于它的域名證書，也就不在客戶端的操作系統(tǒng)上了，因此只能把中間人的根證書，導入到客戶端的操作系統(tǒng)了，以此完成建立加密通信時對中間人證書的驗證。

1.3 電腦如何抓手機的包

要想通過電腦端獲取手機 Web 應用的數(shù)據(jù)包，根據(jù)前面所學，就需要中間人策略。

PC 端建立一個服務器中間人進程，偽裝為 web 應用的目標服務器。手機端 web 應用發(fā)送的請求數(shù)據(jù)先經(jīng)過中間人，中間人進行攔截處理再發(fā)送給目標服務器。反過來，目標服務器發(fā)送的數(shù)據(jù)包先通過中間人，再由中間人響應給瀏覽器客戶端。

這里要注意的是，無論是個人電腦PC，還是移動端手機，都需要接入互聯(lián)網(wǎng)網(wǎng)絡，可以相互找到對方才能建立通信。

一般對開發(fā)來說，個人電腦本地起的服務器進程，在公網(wǎng)上是訪問不到的。一般是無線局域網(wǎng)，個人電腦與手機端連接同一個路由器發(fā)出的 Wi-Fi，就可以相互通信。

?

具體步驟：

在 PC 電腦本地起一個服務器進程，監(jiān)聽一個端口比如 8899

在手機上連接同一個局域網(wǎng)，配置網(wǎng)絡代理，指向 PC 端的 IP 地址和 8899 端口

這樣一來，手機上所有的網(wǎng)絡通信都會被先轉(zhuǎn)發(fā)到 PC 端的 8899 端口，就可以對數(shù)據(jù)包進行分析處理

拿訪問 youtuBe 來說，比如電腦已經(jīng)使用【服務器軟件】成功訪問，此時只要手機配置代理指向電腦 ip 地址和指定端口，手機就可以同樣訪問 youtuBe了。

2. 抓包工具 whistle

2.1 whistle 是什么

Whistle 是基于 Node 實現(xiàn)的跨平臺抓包免費調(diào)試工具，其主要特點：

1、完全跨平臺：支持 Mac、Windows 等桌面系統(tǒng)，且支持服務端等命令行系統(tǒng)

2、功能強大：

支持作為 HTTP、HTTPS、SOCKS 代理及反向代理

支持抓包及修改 HTTP、HTTPS、HTTP2、WebSocket、TCP 請求

支持重放及構(gòu)造 HTTP、HTTPS、HTTP2、WebSocket、TCP 請求

支持設置上游代理、PAC 腳本、Hosts、延遲（限速）請求響應等

支持查看遠程頁面的 console 日志及 DOM 節(jié)點

支持用 Node 開發(fā)插件擴展功能，也可以作為獨立 npm 包引用

3、操作簡單

直接通過瀏覽器查看抓包、修改請求

所有修改操作都可以通過配置方式實現(xiàn)（類似系統(tǒng) Hosts），并支持分組管理

項目可以自帶代理規(guī)則并一鍵配置到本地 Whistle 代理，也可以通過定制插件簡化操作

如何快速使用 whistle

先安裝 node，建議用 nvm 管理

全局安裝 whistle

1

npm i -g whistle w2 start

安裝后，可以在電腦上設置全局代理，代理的端口為 8899.

1

2

3

w2 proxy // 設置全局代理

w2 proxy off // 關閉全局代理

就可以通過瀏覽器訪問 查看抓包、修改請求等。

?

如果你不想使用全局代理，就可以安裝 SwitchyOmega 插件，按需對某些網(wǎng)站設置 whistle 代理。

選擇 Whistle 代理

?

設置 Whistle 代理

?

2.2 whistle 可以做的事情

whistle 可以做的事情很多，以下是官網(wǎng)圖：

?

一些例子配置如下圖所示：

?

3. whistle 實戰(zhàn)案例

3.1 原生 app 加載 PC本地代碼開發(fā)

在原生 app 上已經(jīng)通過 h5 域名加載了 web 頁面，但是本地開發(fā)時不想每次都走流水線或本地打包上傳代碼。

需要把原生 app 的請求代理到本地服務器上來，前提條件是 wifi 手機與電腦可相互訪問，也就是前面提到的電腦抓 pc 的包。

因為我的 web 服務端是 https 應用，因此需要下載 whistle 提供的根證書，手動導入到手機上。

點擊 HTTPS 菜單，然后使用手機掃描二維碼，使用手機瀏覽器打開即可下載，在手機證書中設置進行導入并且設置信任。

?

此時，再在手機上配置代理指向 PC 電腦的 IP和 whistle 監(jiān)聽的端口即可在電腦上截獲數(shù)據(jù)包。

我本地webpack 啟動的服務器應用訪問地址為：xxx.xxx.xxx.xxx:8080

whistle 的配置規(guī)則：

1

2

3

4

5

6

7

8

9

# Rules

# 訪問首頁走本地

jecyu.com/webs/short-transport # 首頁路徑

# 后續(xù)的請求都使用本地代碼

jecyu.com

其中試過在原生 app 訪問本地應用時出現(xiàn)錯誤“ webpack 會提示 invalid host header”，解決方案是在 devServer 配置添加即可：

1

2

3

4

5

devServer: {

allowedHosts: 'all',

}

至此，成功讓原生 app 訪問PC 端本地的開發(fā)代碼。

3.2 查看移動端的 DOM 樣式

Whistle 能夠通過內(nèi)置的 Weinre 去實現(xiàn)查看移動端的 DOM 樣式，配置規(guī)則如下

1

2

3

# 設置 weinre

weinre://test

手機上重新訪問 juejin.cn 網(wǎng)站，然后打開 weinre 可以看到如下，綠色表示遠程連接成功

微信小程序開發(fā)者工具抓包的介紹就聊到這里吧，感謝你花時間閱讀本站內(nèi)容，更多關于微信小程序抓包軟件、微信小程序開發(fā)者工具抓包的信息別忘了在本站進行查找喔。