实习以来,大部分工作是开发,但做为安全测试小组的一员,有必要了解安全测试、如何做安全黑盒测试和白盒测试、如何借助工具来测试。
今 天做旺旺2010正式版(王挺已做完正在跟进的项目,已整理好风险点)测试。首先,查看风险点的UC,理解需求,进一步理解为什么这个点是风险点。通过前 段时间自己做开发,深刻体会到理解需求的重要性。做开发只有深刻理解了需求,才能做出符合客户的产品;做测试只有从客户的角度深刻理解了需求,才能发现产 品更多的缺陷。总之,客户的需求是根本所在。在理解了风险点之后,我正在为如何获取旺旺客户端的发送的请求和数据不知所措的时候,王挺给我介绍了两种抓包 工具——Fiddler和Wireshark。接下来,主要介绍Fiddler的使用。
Fiddler 是一个http调试代理,它能够记录所有的你电脑和互联网之间的http通讯,Fiddler 可以也可以让你检查所有的http通讯,设置断点,以及Fiddle r所有的“进出”的数据(cookie,html,js,css等文件)。Fiddler是以代理服务器的方式,监听系统的网络数据流动。运行 Fiddler后,网络数据流通过Fiddler进行中转时,我们可以监视HTTP/HTTPS数据流的记录,并加以分析,甚至还可以修改发送和接收的数据。Fiddler的作用从下面图的显示更好理解一点。
在使用Fiddler之前,进行如下配置:
- 设置Fiddler监听端口(Tools–>Fiddler Options)
2.设置IE(工具–>Internet选项–>连接–>局域网设置–>代理服务器设置–>高级),设置 HTTP和Secure的端口和 Fiddler监听的端口一致。
接下来,借助Fiddler来进行测试。以测试需求“在聊天窗口上传图片到淘江湖时增加确认提醒”为例,存在的可能风险点是“是否允许非法图片文件上传”。在聊天窗口上传图片到淘江湖时,Fiddler记录到如下Session,
在Fiddler左面窗口可以查看Http的请求视图,
从请求数据中可以抓取到 POST、Content-Type、Accept、Cookie等有用数据,有了这些参数,就可以伪造请求来实现非法文件的上传。
在Http的请求视图下方是Http响应视图,可以查看响应信息,
Fiddler还有一些其他的功能,
1.支持断点调试
在 软件的菜单—rules—automatic breakpoints选项选择beforerequest,或者当这些请求或响应属性能够跟目标的标准相匹配,Fiddler就能够暂停Http通讯, 允许修改请求和响应。这个功能对于安全测试是非常有用的,当然也可以用来做功能测试 。
2.统计功能——可用做性能测试
通过 记录所有的Http通讯,Fiddler显示哪些用来生成一个页面,就是Fiddler左边的那个大框,用户可以多选,通过统计来得到一个WEB页面的 “总重量”(页面文件以及相关js,css等)。你也可以很轻松得看到你请求的某个页面,总共请求了多少次,以及多少字节被 转化了。可以通过减少被访页面的重量,提高性能,可以给客户留下很好的第一印象。
3.构造请求——可以任意地构造请求数据来实现自己的测试目的。
4.过滤功能——可以对左侧的记录进行过滤,得到对自己更有用的信息,提高测试效率。
Fiddler还有一些其他的功能,今天只学习了这么多,以后继续补充~~
转载一篇文章,感觉写得特别好。出处:http://bigwilly.blog.163.com/blog/static/17395354720108293162885/