## 1. 认识Mitmproxy：你的网络流量分析利器 第一次听说Mitmproxy时，你可能和我当初一样好奇：这到底是个什么神奇工具？简单来说，它就像是你手机和互联网之间的"透明玻璃"，所有进出的网络请求都能看得一清二楚。我在做电商APP测试时，就是靠它发现了支付接口的异常请求。 Mitmproxy本质上是一个基于Python开发的中间人代理工具，支持HTTP/HTTPS流量拦截。与其他抓包工具相比，它最大的特点是提供了完整的Python API接口。这意味着你可以像搭积木一样，用Python代码定制各种功能。去年我们团队就用它开发了一套自动化测试系统，效率提升了3倍不止。 工具包含三个核心组件： - **mitmproxy**：命令行交互界面（Windows不支持） - **mitmweb**：浏览器可视化界面 - **mitmdump**：无界面命令行工具，适合脚本化操作 ## 2. 5分钟快速搭建开发环境 记得第一次安装时，我踩了不少坑。现在把最稳妥的安装方法分享给你： ```bash # 推荐使用pipx避免依赖冲突 python -m pip install --user pipx python -m pipx ensurepath pipx install mitmproxy ``` 安装完成后，验证是否成功： ```bash mitmdump --version # 应该看到类似输出： # Mitmproxy: 9.0.1 # Python: 3.9.6 ``` **证书配置**是很多新手容易卡住的地方。最近帮同事调试时，发现最新版Android的证书安装流程有变化： 1. 启动代理：`mitmweb -p 8888` 2. 手机连接同一WiFi，设置手动代理（IP为电脑内网IP，端口8888） 3. 手机浏览器访问`http://mitm.it`，下载安装证书 4. 在系统设置中搜索"证书"，找到mitmproxy证书手动启用信任 > 提示：如果遇到HTTPS网站打不开，大概率是证书没装好。iOS 14+需要在"设置-通用-关于本机-证书信任设置"中额外启用信任。 ## 3. 流量拦截与修改实战 去年做爬虫项目时，我们需要动态修改请求头绕过反爬。用Mitmproxy只需要20行代码： ```python from mitmproxy import http class HeaderModifier: def request(self, flow: http.HTTPFlow): # 伪装成Chrome浏览器 flow.request.headers["User-Agent"] = "Mozilla/5.0" # 给特定URL添加认证头 if "api.example.com" in flow.request.host: flow.request.headers["Authorization"] = "Bearer fake_token" addons = [HeaderModifier()] ``` 保存为`modify_headers.py`，用以下命令启动： ```bash mitmdump -s modify_headers.py ``` **响应修改**同样简单。上周我帮市场部同事快速Mock了一个API： ```python class MockAPI: def response(self, flow: http.HTTPFlow): if "/user/profile" in flow.request.path: flow.response = http.Response.make( 200, b'{"name": "测试用户", "vip": true}', {"Content-Type": "application/json"} ) addons = [MockAPI()] ``` ## 4. 高级应用：打造自动化测试系统 我们团队现在使用的自动化测试框架，核心就是基于Mitmproxy构建的。分享几个实用场景： **4.1 接口性能监控** ```python import time class PerformanceMonitor: def __init__(self): self.api_times = {} def request(self, flow): flow.start_time = time.time() def response(self, flow): elapsed = time.time() - flow.start_time api_path = flow.request.path.split('?')[0] self.api_times[api_path] = self.api_times.get(api_path, []) + [elapsed] if elapsed > 1: # 超过1秒警告 print(f" 慢接口警告：{api_path} 耗时{elapsed:.2f}s") addons = [PerformanceMonitor()] ``` **4.2 敏感数据脱敏** 去年合规检查时，这个脚本帮了大忙： ```python import re class DataMasker: def response(self, flow): # 手机号脱敏 if "application/json" in flow.response.headers.get("Content-Type", ""): phone_re = re.compile(r'1[3-9]\d{9}') flow.response.text = phone_re.sub(lambda m: m.group()[:3]+"****"+m.group()[7:], flow.response.text) addons = [DataMasker()] ``` ## 5. 企业级应用技巧与避坑指南 经过多个项目实战，总结出这些经验： **5.1 性能优化** 当处理大量请求时，记得启用并发模式： ```python from mitmproxy.script import concurrent class HighPerformanceHandler: @concurrent def request(self, flow): # 耗时操作放这里 pass ``` **5.2 常见问题排查** - **问题**：手机连代理后无法上网 **解决**：检查防火墙设置，开放代理端口（默认8080） - **问题**：HTTPS请求显示Tunnel to **解决**：确认客户端已正确安装并信任证书 - **问题**：脚本修改不生效 **解决**：检查脚本是否有语法错误，重启mitmdump 最近在金融项目中发现，某些APP会启用证书绑定（Certificate Pinning），这时需要配合frida等工具才能拦截。这个比较复杂，后续可以单独分享。