Web 抓包并不是安全研究的专属技能,而是前端联调、后端排查、运维与测试的基础能力。本文从实战角度出发,聚焦"如何在 Web 场景下可靠抓包与定位问题":包括浏览器内抓包、代理抓包、HTTPS 解密、WebSocket/Service Worker 抓包、自动化抓包与常见失败排查思路,并给出工程化的操作建议与工具组合。
一、先理顺:Web 抓包的目标是什么
- 验证请求是否发出(URL、方法、Headers、Body)
- 确认响应是否符合预期(状态码、响应体、Content-Type)
- 定位跨域(CORS)、缓存、重定向、Cookie、鉴权等问题
- 观察长连接/推送(WebSocket、SSE)的帧内容
- 在 HTTPS 下还要能看到解密后的明文(需证书或特殊手段)
二、最直接:浏览器 DevTools 抓包(首选)
- 打开 DevTools → Network 面板:可以看到所有资源、XHR/Fetch、WebSocket 帧。
- 常用操作:
- 勾选 Preserve log 保留跳转或单页应用的日志;
- 过滤
XHR/WS/Doc,快速定位请求; - 查看每个请求的 Initiator 追溯调用栈(定位出请求的 JS 源)。
- 优点:零配置、最快速;缺点:无法修改请求并重放(但可在 Console 用
fetch或复制为 cURL 重放)。
三、代理型抓包(可修改、重放、解密)
- 常用工具:Charles / Fiddler / Proxyman / Burp。
- 流程概述:在浏览器或系统中设置 HTTP(S) 代理 → 安装代理根证书并在系统/浏览器中信任 → 抓取并解密 HTTPS。
- 常见用途:修改请求头、修改响应(便于前端测试)、重放请求验证 bug、记录接口调用链。
- 注意事项:在 iOS/Android 真机调试时也可用同样思路通过手机代理到桌面代理。
四、WebSocket 与 Service Worker 的抓包要点
- WebSocket:DevTools Network → WS 选项卡能看到每个帧(frame)内容,代理工具也可显示帧的原始内容。
- Service Worker:Service Worker 可能拦截并修改请求,DevTools 的 Application 面板能查看注册的 Service Worker 与缓存条目;若发现请求被 SW 改写,需在 DevTools 的 Application → Service Workers 停用或更新然后重试。
五、HTTPS 解密的难点与解决方案
-
常见问题:只看到
CONNECT,无法看到明文原因通常是未安装/未信任代理证书或代理未启用 HTTPS 解密。 -
调试命令(快速检测):
bashcurl -v -x http://127.0.0.1:8888 https://example.com/ openssl s_client -connect example.com:443 -servername example.com -
在遇到 SSL Pinning 或双向证书时,代理往往失效。这类高安全场景可使用 USB 直连的真机抓包工具(例如以直连方式捕获 TLS 流量并解密的工具),将原始流量导出为 PCAP,再用 Wireshark 深度分析。
六、自动化抓包与脚本化测试
- mitmproxy(Python)支持以脚本方式拦截、修改并记录流量,适合自动化测试与 CI 集成。示例脚本可在请求到达时注入测试数据或模拟错误响应。
- 结合 Selenium + BrowserMob Proxy 可在 UI 自动化测试中同时记录网络流量,便于回归测试中验证接口变化。
七、常见故障与工程化排查顺序
- 没看到任何请求:先检查 DevTools Network 是否被过滤(例如只看 JS),再确认代理/网络是否正常。
- 出现 CONNECT 但无明文:检查代理证书是否安装并在操作系统/浏览器中"信任"。
- 部分请求被拦截或修改:查看是否有 Service Worker、浏览器扩展(Adblock / HTTPS Everywhere)或企业透明代理在中间。
- 只有某个 App/域抓不到包:怀疑 SSL Pinning,代理无法解密,尝试在测试环境禁用 Pinning 或使用直连抓包工具导出 PCAP。
- WebSocket 无法显示帧:确认 DevTools 是否保留日志,或使用代理确认是否有中间层断开/升级失败。
八、实践中的工具组合建议
- 开发验证:优先用浏览器 DevTools → 出问题再用 Charles/Proxyman 做解密与修改。
- 测试自动化:mitmproxy 脚本化 + CI 集成。
- 安全/深度分析:Sniffmaster(或其他直连抓包)导出 PCAP → Wireshark 深度分析 TLS 握手、重传与丢包。
- 说明:直连类工具在面对 Pinning、双向认证或企业安全策略时,常是最后但有效的手段。
九、实用小技巧(提升效率)
- 在代理工具中添加域名白名单与过滤规则,减少噪声请求。
- 使用 复制为 cURL 快速在命令行重放请求并排查参数/签名问题。
- 导出 PCAP 给团队共享,方便后续用 Wireshark 做更专业的分析。
- 搭建测试环境时建议使用可控证书与禁用 Pinning 的测试构建,便于复现场景。
把"复现 → 捕获 → 解密 → 分析 → 修复 → 验证"的闭环做成团队标准流程,会显著提升排查效率。Web 抓包并非单次操作,而是一个工具链:浏览器 DevTools、代理抓包、脚本化代理、直连抓包与协议分析(Wireshark)按需组合,才能覆盖从简单前端 bug 到复杂 TLS/Pinning 的所有场景。