51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 874|回复: 0
打印 上一主题 下一主题

[资料] 如何打造一个完美的 web 测试环境看这里!

[复制链接]
  • TA的每日心情
    无聊
    9 小时前
  • 签到天数: 1050 天

    连续签到: 1 天

    [LV.10]测试总司令

    跳转到指定楼层
    1#
    发表于 2023-6-9 11:43:02 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    在做网站的测试时,抓包扫描必不可少,如何将测试的所有记录保存下载,待后续分析呢?先来看一个架构图:

      图中的工具好像都认识,然而这些工具之间的关系是怎么样的?
      我们在测试时,通常会开启一个 web 代理工具,比如 zap、burp 这些,然后设置浏览器代理为这些工具启动的代理服务,然后我们使用浏览器访问的所有网站流量都会经过这些代理工具,然后通过查看代理记录的数据包分析安全问题。
      这个工具的作用与 zap、burp 类似,只不过是命令行版而非界面程序,它通用启动代理服务,浏览器设置代理之后,经过的所有流量可以进行记录保存为文件,如图:

      打开文件就可以看到具体请求响应内容:

      那么我们就利用它的这个功能,并且利用 zap 和 burp 都可以设置 upstram 的能力,让我们访问一次的流量,分发给不同的程序进行处理,zap:

      burp:

      设置好之后,通过 zap 或者 burp 的流量就会通过 proxify:

      比如最开始的流程图,当我们在使用 zap+firefox 进行网站测试时,将流量同步给 burp 做漏洞扫描,然后再同步给 proxify 进行记录保存,待后续使用。
      这里还可以有其他的方式,比如漏洞扫描可以使用 xray(被动漏洞扫描器),而人工触发漏洞扫描,可以使用 crawlergo(基于浏览器内核的爬虫) 代替,项目地址:https://github.com/Qianlitp/crawlergo
      比如,使用 grep 查找字符串:

      查找所有内容中的 URL,使用命令行工具 gf:

      以上就是本文的内容,工具都有它的特性,相互结合可以大大提升测试效率,那么你的 web 测试环境是什么样的?

    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-21 18:56 , Processed in 0.064036 second(s), 23 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表