组合拳：Fiddler+Postman+AppScan，搞定C/S端软件漏洞扫描

时隔3个月，今天来更新一篇个人觉得很有意义的文章，为什么说是这篇内容比较有意义呢？主要有以下几点:
1、关于此问题的文章全网基本上没有，大部分说的都是通过Appscan+Profixer对手机端App测试进行描述，缺少对C/S端的教学；
2、解决了近期项目上的问题；
3、文章+1、也希望能够为以后遇到此问题的朋友们提供一种新的解决方式。
废话不多说，开始正事…

Fiddler代理配重抓包

对于C/S端来说，和B/S得区别可能就是B/S的系统更容易看到api信息，但是C/S的不会这么容易，我们能用的方式只有通过抓包，当然还可以通过开发那边获取，但是不是所有人都愿意配合，那这个时候我们就只能自己想办法了。
此时Fiddler就派上用场了，可以通过fiddler代理的方式来获取C/S端软件的通讯包信息。以wps举例，打开fiddler的系统代理模式，wps登录操作后，在Fiddler中就可以看到对应包信息

AppScan截获Postman包信息获取登录认证

打开AppScan后选择Web基本的登录管理，登录方法选择已记录，选择外部客户机–Postman，如果Postman为灰色需要安装一下

此时Postman会被以代理的方式自动打开（过程中如果提示安装正式直接安装即可），此时Appscan出现记录流量窗口，目的是为了记录在打开Postman后在回放Api接口后能够拦截到请求的流量。

在拦截到对应的请求后点击停止记录，选择接口后保存，然后选择按照当前配置开始扫描任务即可。