對于Web測試,我們可以很容易的抓取到相關的http請求包,不用什么專業軟件,甚至瀏覽器都能幫我們完成這個功能,拿到需要的http請求連接 。
http連接對于測試同學來說, 不論做功能、性能或是安全,都是非常重要的, 他過濾了前臺的因素,讓測試同學直接能對后臺進行交互。
以上是http連接的重要性,基本等于廢話,下面是正題。
客戶端安全測試,同樣需要拿到http的請求包,由于客戶端的前段限制繞過比較麻煩,那么在做安全測試的過程中,直接拿到http的請求包顯得更外重要。
有如下方法可以拿到請求的http包:
1、在不配置代理的情況下,對Android客戶端(模擬器)的數據我們可以使用wireshark或者etherpeek等網絡層抓包軟件抓取,模擬器本身的數據交互是通過電腦主機的網卡進行的,所以我們通過抓包軟件抓取主機網卡的數據包,經過過濾,便可得到模擬器客戶端中的數據包,類似這樣:
訪問之后,通過wireshark過濾http請求,便可找到我們剛剛發送的請求。
當然,這是種比較麻煩的方法,不過可以更確切的看到網絡包發送的內容。
另一種辦法是對模擬器配置代理,讓所有請求包可以通過外部主機的七層抓包軟件,例如fiddler ,burpsuite等所捕獲到,配置代理需要先做一次設置:類似這樣:
進 入“設置”選項之后,按照圖示設置
這里proxy 設置為10.0.2.2是android模擬器對外部主機地址的硬編碼,端口設為8888是外部主機fiddler 的監聽地址,當然,如果是burpsuite 可以設置為8080。
那么這樣的話 ,我們就能通過fiddler抓取模擬器中的數據包了, 這樣對測試來講,可以用web端的應用層工具對客戶端的http數據進行處理,方便的可就多了。