背景

最近面试一家国企的安服工程师，问题不是很难，但是遇到一个很有意思的问题，大概就是面试官问，如果不能使用国外的一些抓包软件，比如 Burpsuite、Fiddler、Charles 等用什么软件，还要保证软件的功能性。当时都回答确实不算太完美，说了几款国内的抓包软件，甚至说了 F12，但是也都没有详细了解过，所以这里回来打算整理一下。

其实大多数国内的抓包测试软件，基本上在抓包测试和模糊测试这个板块都是支持的，常见的协议、 TangGo、Yakit、Reqable，以上排名不分先后。这里就对三款软件进行一个总结。

TangGo

TangGo 这款工具是博主某次无意间交谈知道的，其实说起这个工具想必大家一定很陌生，但是其团队 PKAV 我想网安圈子的师傅们大家都多少有耳闻，尤其是其当年的 Pkav HTTP Fuzzer 在坐不少师傅应该都用过，那么这款软件也是由 PKAV 成立后的团队研发的，是一款为软件测试、网络安全从业人员提供强大的测试工具，其中 HTTP抓包测试工具是一款跨平台的功能强大的HTTP、Websocket数据拦截、修改、重放的测试工具，HTTP模糊测试工具(基础版)是一款高度可配置的自动化渗透测试工具。

官网：TangGo测试平台

功能介绍

集成了40余种自研的跨平台测试工具，支持独立运行及界面化操作。

支持团队协同测试，实现测试数据的动态推送与实时同步。

支持以插件形式兼容第三方工具。

支持界面和工具分离的远程模式部署，支持环境共享，无缝切换办公场所。

集成无代码可视化快速开发框架，零编程基础的用户也能够玩转安全测试开发。

界面展示

TangGO 目前支持暗色和浅色两种。

（浅色界面）

（暗色界面）

Yakit

Yakit 可以说是近些年来国产抓包软件的走在行业前面的几个，Yakit 是 Yak 的衍生项目，对于一些不想写代码的安全从业者，Yakit会为Yak中所有的能力提供合适的GUI，通过Yakit的GUI去操控引擎的能力。

官网：Yakit: 集成化单兵安全能力平台 | Yak Program Language

功能介绍

类 Burpsuite 的 MITM 劫持操作台

查看所有劫持到的请求的历史记录以及分析请求的参数

全球第一个可视化的 Web模糊测试工具：Web Fuzzer

Yak Cloud IDE：内置智能提示的 Yak 语言云 IDE

ShellReceiver：开启TCP 服务器接收反弹交互式 Shell 的反连

第三方 Yak 模块商店：社区主导的第三方 Yak 模块插件，你想要的应有尽有

界面展示

Yakit 界面为白色界面。

Reqable

Reqable是一款跨平台的专业HTTP开发和调试工具，在全平台支持HTTP1和HTTP2协议，简单易用、功能强大、性能高效，助力程序开发和测试人员提高生产力！Reqable以灵活的配置、多平台支持赢得了众多爱好者的赞叹，他更像是Fiddler/Charles + Postman的结合体，而且更贴合了国内用户的体验。

官网：介绍 | Reqable

功能介绍

支持HTTP/1.x, HTTP2协议版本，HTTP3(QUIC)暂不支持。
支持HTTP/HTTPS/Socks4/Socks4a/Socks5代{过}{滤}理方式。
支持HTTPS，TLSv1.1、TLSv1.2和TLSv1.3加密协议。
支持基于HTTP1升级的WebSocket协议。
支持HTTP/HTTPS二级代{过}{滤}理（调试境外流量）。
搜索筛选：提供书签、域名、快捷筛选栏和多条件等高级搜索方式。
网关功能：对指定请求或响应进行屏蔽，挂起等操作。
重写功能：预设规则对指定请求或响应进行重定向、替换或者修改。 断点功能：对请求或响应进行实时断点操作，比如屏蔽，挂起或修改替换数据等。
脚本功能：支持编写Python脚本处理实时请求或响应。
镜像功能：对指定域名和端
配置镜像映射。
测试联动：支持从调试列表创建API进行测试。
历史记录：自动保存抓包的流量数据，方便回溯查看。
重发回放：支持单个或多个请求进行回放测试。
自动高亮：支持设定自定义规则对请求进行多种颜色高亮。
HAR支持：自动关联HAR格式文件，并支持HAR导出和导入。

界面展示

Reqable支持三种模式：亮色、暗色和跟随系统（即使用系统当前的模式）。

（暗色模式）

（浅色模式）