一、Mitmproxy简介

Mitmproxy是一款开源的交互式HTTPS代理工具，支持拦截、修改和重放HTTP/HTTPS流量。其核心优势在于：

• 多平台支持：兼容Windows、macOS、Linux
• 三端工具：提供命令行(mitmproxy)、Web界面(mitmweb)、数据流处理(mitmdump)
• Python集成：通过API可实现高度定制化的流量处理
• SSL/TLS支持：自动生成证书实现HTTPS解密

二、安装与配置

2.1 环境准备

# 安装Python 3.8+（以Windows为例）
# 官方下载地址：https://www.python.org/downloads/
# 配置环境变量后执行
pip install mitmproxy
mitmdump --version  # 验证安装

2.2 证书安装

1. 启动代理服务：

mitmdump -p 8080

2. 移动端配置：
   • 手机连接与PC同网段的WiFi
   • 设置代理：IP为PC地址，端口8080
   • 浏览器访问http://mitm.it下载对应平台证书

三、核心功能详解

3.1 流量拦截与修改

基础模板：

from mitmproxy import http, ctxclass RequestModifier:def request(self, flow: http.HTTPFlow):# 修改请求头flow.request.headers["User-Agent"] = "MitmProxy/1.0"# 修改GET参数if "orderNo" in flow.request.query:flow.request.query["orderNo"] = "NEW_ORDER_ID"def response(self, flow: http.HTTPFlow):# 篡改响应内容if "error" in flow.response.text:flow.response.text = '{"status":"success"}'addons = [RequestModifier()]

3.2 数据持久化存储

import json
from mitmproxy import httpclass DataLogger:def response(self, flow: http.HTTPFlow):data = {"url": flow.request.url,"method": flow.request.method,"status": flow.response.status_code,"content": json.loads(flow.response.text)}with open("api_logs.json", "a") as f:json.dump(data, f)f.write("\n")

3.3 自动化测试用例生成

import csv
from mitmproxy import httpclass TestCaseGenerator:def __init__(self):self.csvfile = open('test_cases.csv', 'w', newline='')writer = csv.writer(self.csvfile)writer.writerow(["URL", "Method", "Request", "Expected"])def response(self, flow: http.HTTPFlow):writer = csv.writer(self.csvfile)writer.writerow([flow.request.url,flow.request.method,flow.request.text,flow.response.status_code])def done(self):self.csvfile.close()

四、实战场景

4.1 电商API压力测试

from mitmproxy import http
import timeclass StressTester:def __init__(self):self.start_time = time.time()def response(self, flow: http.HTTPFlow):elapsed = time.time() - self.start_timectx.log.info(f"API {flow.request.url} 响应时间: {elapsed:.2f}s")if flow.response.status_code >= 500:ctx.log.error(f"服务异常: {flow.response.text}")

4.2 社交APP数据脱敏

import re
from mitmproxy import httpclass DataMasker:PHONE_RE = re.compile(r'1\d{10}')def response(self, flow: http.HTTPFlow):if "user_profile" in flow.request.url:mask_text = self.PHONE_RE.sub("138****0000", flow.response.text)flow.response.text = mask_text

五、高级技巧

5.1 流量重放攻击

# 保存流量到文件
mitmdump -w traffic.dump# 后续重放
mitmdump -n -r traffic.dump -s replay_script.py

5.2 混合使用BurpSuite

# BurpSuite配置upstream代理
mitmdump --mode upstream:http://localhost:8080 --set upstream_cert=true

六、最佳实践

1. 安全建议：

   • 测试环境使用自签名证书
   • 生产环境禁用Mitmproxy
   • 定期轮换CA证书

2. 性能优化：

   # 使用并发处理提升性能
   from mitmproxy.script import concurrentclass ConcurrentHandler:@concurrentdef response(self, flow):# 高并发场景下的处理逻辑
   

3. 调试技巧：

   # 启动时增加日志级别
   mitmweb -v --set console_eventlog_verbosity=debug
   

七、总结

Mitmproxy作为功能强大的流量分析工具，在以下场景展现独特价值：

• 接口测试：自动化生成测试用例
• 安全审计：发现敏感信息泄露
• 性能优化：定位慢查询接口
• 协议分析：研究未知API结构

通过Python API的深度集成，开发者可以构建从流量捕获、修改到分析的完整处理链路，显著提升研发效率。建议结合具体业务场景，逐步构建企业级流量处理平台。