• 0
  • 0
分享
  • 测试大神教你打造一个完美的 web 测试环境——软件测试圈
  • quinn 2024-07-10 13:22:10 字数 786 阅读 108 收藏 0

 在做网站的测试时,抓包扫描必不可少,如何将测试的所有记录保存下载,待后续分析呢?先来看一个架构图:

1-1.jpg

  图中的工具好像都认识,然而这些工具之间的关系是怎么样的?

  我们在测试时,通常会开启一个 web 代理工具,比如 zap、burp 这些,然后设置浏览器代理为这些工具启动的代理服务,然后我们使用浏览器访问的所有网站流量都会经过这些代理工具,然后通过查看代理记录的数据包分析安全问题。

  这个工具的作用与 zap、burp 类似,只不过是命令行版而非界面程序,它通用启动代理服务,浏览器设置代理之后,经过的所有流量可以进行记录保存为文件,如图:

1-2.jpg

  打开文件就可以看到具体请求响应内容:

1-3.jpg

  那么我们就利用它的这个功能,并且利用 zap 和 burp 都可以设置 upstram 的能力,让我们访问一次的流量,分发给不同的程序进行处理,zap:

1-4.jpg

  burp:

1-5.jpg

  设置好之后,通过 zap 或者 burp 的流量就会通过 proxify:

1-6.jpg

  比如最开始的流程图,当我们在使用 zap+firefox 进行网站测试时,将流量同步给 burp 做漏洞扫描,然后再同步给 proxify 进行记录保存,待后续使用。

  这里还可以有其他的方式,比如漏洞扫描可以使用 xray(被动漏洞扫描器),而人工触发漏洞扫描,可以使用 crawlergo(基于浏览器内核的爬虫) 代替,项目地址:https://github.com/Qianlitp/crawlergo

  比如,使用 grep 查找字符串:

1-7.jpg

  查找所有内容中的 URL,使用命令行工具 gf:

1-8.jpg

  以上就是本文的内容,工具都有它的特性,相互结合可以大大提升测试效率,那么你的 web 测试环境是什么样的?


作者:myh0st    

来源:http://www.51testing.com/html/74/n-7796574.html

  • 【留下美好印记】
    赞赏支持
登录 后发表评论
+ 关注

热门文章

    最新讲堂

      • 推荐阅读
      • 换一换
          • 1、TCP是互联网中的(1 A)协议,使用(2 C)次握手协议建立连接。当主动发出SYN连接请求后,等待对方回答(3 A)。这种连接的方法可以防止(4 D),TCP使用的流量控制协议是(5 B)。(1)A.传输层  B.网络层  C.会话层  D.应用层;(2)A.1  B.2  C.3  D.4;(3)A.SYN,ACK  B.FIN,ACK  C.PSH,ACK  D.RST,ACK;(4)A.出现半连接  B.无法连接  C.假冒的连接  D.产生错误的连接;(5)A....
            16 14 6370
            分享
          •   前言  软件测试行业3年多经验,学历大专+自考本科,主要测试方向web,PC端,wap站,小程序公众号都测试过,app也测过一些,C端B端都有,除功能外,接口性能也有涉猎,但是不能算精通,脚本也能写一些,但是工作中用不到(基本工具开发的脚本已经够工作中使用),不知道是互联网行业今年如此艰难,还是我自己真的太菜了?坐标区域,北京,这是我的一位朋友目前遇到的状况!接下来我们就帮他分析分析他可能存在的问题?有那些方面可以优化的,甚至学习补强的,我们一一细说!  海投简历迟迟没有得到公司邀约面试?可能存在的问题  企业一般看3点: 学历 能力 履历  学历不行的情况下把自身技术提升起来。 技术硬了...
            0 0 1619
            分享
          •   C端重体验B端重逻辑基本已经成为大部分产品世界的共识了,因此需求梳理成为了B端产品经理重要的工作场景。而如何进程需求梳理,首选应该先确定你是设计的一款标准化商业垂直型产品,还是基于内外部客户明确需求的定制化产品。  标准商业化产品  面向市场对多个行业B端客户销售的产品被称为标准化产品,这类产品主要采用单套产品私部署模式或SAAS云服务模式进行销售,后者是目前市场主流。因为是面向全市场标准化销售产品,在梳理需求前需要先确定产品是面向大部分公司内部标准化业务的业务垂直产品还是面向不同行业用户的行业垂直产品,前者强调解决大部分企业内部一类标准业务,如OA、CRM、HRM等,这种产品需要梳理企业...
            0 0 491
            分享
          • 渗透方法:黑盒测试:在不知道目标内部的基本构造和内部特性的情况下进行测试白盒测试:与黑盒相反灰盒测试:介于黑白盒之间,在知道较少内部架构的情况下进行攻击渗透目标:主机操作系统渗透测试数据库系统渗透测试应用系统渗透测试网络设备渗透测试:网络通信设备、网络安全设备内网渗透测试外部渗透测试渗透七个步骤:1、前期交互确定渗透测试范围时间估计:预估整体项目的时间周期问答交谈:对企业内雇员进行问答交流(这里应该指社工)范围制定:项目起止时间、授权文件、目标规划确定测试资源:IP、域名范围、ISP、服务器所在国家(渗透需要的资源情报)目标规划确定目标业务分析与需求分析建立通信渠道紧急联系方式应急响应流程进展...
            0 0 2097
            分享
          • 一、adb环境部署准备下载jdk及安卓adt1、jdk下载地址(https://www.oracle.com/java/technologies/javase-downloads.html)配置环境变量① 打开配置环境入口右键此电脑-高级系统设置-环境变量② 配置JAVA_HOME在系统变量中新增JAVA_HOME,变量值中输入jdk安装路径(C:\Program Files\Java\jdk-15.0.1 版本号及路径可能不一致,不能直接复制)③ 编辑Path在系统变量Path中新加两条:%JAVA_HOME%\bin和%JAVA_HOME%\jre\bin(每条以英语分号隔开)④ 编辑CL...
            0 0 1074
            分享
      • 51testing软件测试圈微信