4月份，看到淘宝上的抢单链接，专门抢拍品优惠券，比如读书日的当当网打完折后满200-100的券，一共有100张，但是普通用户单独存粹地在页面点，压根儿抢不到；

 

基于此，开始想抓包分析，

初步猜测是：一个带有商品的http请求直接生成一个订单号，

请求要能正确，必须带有个人登录标识，token之类信息；

必须带有商品信息，商品编码；

 

 

带着这样的想法，有空的时候尝试了很多抓包工具；

 

Badboy以前就用过，支持windows上对PC web页面抓包还不错；但后来电脑升级到win10，总是失败了，弹出的alert框始终不能清除掉，脚本也没有办法保存了

 

BlazeMeter： 带有firefox和Chrome的插件，要开代理用；不是太好用，不能对所有页面抓包

 

Jmeter录制： 对http/https都能够抓包，对手机app，微信小程序也能抓包；PS 有一些框架TSL貌似就不支持珠宝，比如对微信聊天信息抓包，都是乱的； jmeter生成的证书7天有效，之后需要重新生成，ssl重新同意一下

 

Charles 由于MAC安装Fidder不方便，就安装了Charles，自己也没有去寻找破解版，Charles试用版会在每30分钟后重启，几分钟出个页面delay一下，我觉得完全不影响使用。用久了觉得这个还不错，Charles抓手机APP只要在手机上安装charles证书即可。而且Charles能将请求分类。

 

 

Fidder

 

 

BurpSuite  下载来试用版，试用过。印象不深。

 

WireShark  貌似一种免费版不能抓请求，专业版收费才能看到具体http/https请求。

 

 

 

个人觉得Jmeter比较容易上手，而且会将各种请求头都以http header manager保存下来，可以看到请求的顺序，和返回。

Charles也很好用，可以在breakpoint模式下直接在抓包的过程中篡改数据。

而且这两款支持windows，mac

 

 

简单的东西上手，容易成功，容易获得成就感。

兴趣是最好的老师。