目录
1.抓包,辅助定位bug(web中类似谷歌浏览器F12开发调试工具)
1.1APP抓包分析
2.构建需要的测试场景(通过拦截篡改接口的请求或返回)
2.1断点篡改请求参数
2.1.1如果需要篡改请求参数,则需要在请求前设置断点
2.2.接口指向本地资源。在本地文件中配置你想要的的返回结果,请求特定接口时返回你自己配置的资源。
2.3.直接修改指定接口的返回结果,构造所需要的测试场景
🎁更多干货
完整版文档下载方式:
1.抓包,辅助定位bug(web中类似谷歌浏览器F12开发调试工具)
合格的软件测试工程师,不仅仅需要能够发现bug,还需要能透过bug表象,分析出问题根本原因,从而提升bug的解决效率,通过fiddler可以抓取接口请求的request和response,通过对参数进行分析,可以定位是前端问题还是后台问题,直接找到对应的开发人员,可以快速解决问题。
1.1APP抓包分析
配置前提:手机与电脑在同一局域网
配置步骤:
1.Fiddler设置打开Fiddler, Tools-> Options。选中"Allow remote computers to connect". 是允许别的机器把HTTP/HTTPS请求发送到Fiddler上来(配置完后记得要重启Fiddler)。
2.获取电脑ip地址:cmd输入ipconfig,或者直接通过fiddler查看,鼠标放在fiddler界面右上角网络连接图标处,即可展示本机ip(如图)。
3.打开手机, 找到你的无线网络连接, 打开HTTP代理,选择"手动", 输入Fiddler所在机器的IP地址(比如:192.168.1.104) 以及Fiddler的端口号8888
4.手机安装证书:首先要知道Fiddler所在的机器的IP地址,手机浏览器访问“ip地址:8888”,FiddlerRoot certificate" 然后安装证书并设置信任。
2.构建需要的测试场景(通过拦截篡改接口的请求或返回)
在测试过程中,为了测试覆盖率,往往需要执行很多场景的用例来验证某一功能在各种场景下的业务处理能力,包括正常、异常的场景;而仅仅通过页面端来发起校验,往往是不能够模拟所有场景的。另外,如果系统调用的有外部接口,根据外部接口的不同返回结果进行不同的逻辑处理,那么就需要外部接口的提供方配合我们进行测试,而在实际操作中这是很难做到的,这个时候我们就可以使用fiddler来篡改接口返回的数据,构造我们需要的测试场景,可以大大提高我们的测试效率。
2.1断点篡改请求参数
2.1.1如果需要篡改请求参数,则需要在请求前设置断点
举例1:boss后台模拟充值
输入充值金额,提交前,进行断点设置,fiddler中选中Rules->Automatic Breakpoints->Before Requests;页面进行业务操作,此时在fiddler页面可以看见对应的请求图标会有个红色通行标示,表示请求过程中设置了断点,客户端发出的请求被fiddler拦截了。
在左侧点击这个请求,在右侧Inspectors->TextView或WebForms等界面下会看到请求发送的具体内容,直接修改需要模拟的测试场景数据,再点击右下页面的run to complete按钮即可。
此时再看接口,会发现接口向服务器发送的请求是我们篡改过的。此方法在充值,购物支付等重要场景可以对服务端的安全性进行校验。本质是绕过前端的限制直接向服务端发起请求,有多种应用场景。
举例2:开票场景
场景一:请求前设置断点,篡改请求参数
步骤1:在浏览器打开目标网址:xx.xx.xx.xx:xxxx/eticket-web/index.html#/login
步骤2:在fiddler中添加主机
步骤3:设置断点
步骤4:在目标网页中进行操作
步骤5:fiddler会话列表中,可以看到这个请求已经被设置了请求前断点,点击该会话,在右侧请求参数中,篡改开票金额
文章来源地址https://www.toymoban.com/news/detail-551173.html
步骤6:点击【Run to Comp】按钮,观察响应报文
篡改数据后再向服务器发送请求,请求失败
2.1.2如果需要篡改响应数据,则需要在请求后设置断点
场景一:响应后设置断点,篡改响应参数
步骤1:在浏览器打开目标网址:xx.xx.xx.xx:xxxx/eticket-web/index.html#/login
步骤2:在fiddler中设置断点
步骤3:在目标网页上进行正常操作
先打开目标网址进行登录,然后将fiddler拦截的登录成功的响应信息进行修改
fiddler拦截的响应信息
将拦截的响应信息进行修改:
查看目标网址返回的信息
2.2.接口指向本地资源。在本地文件中配置你想要的的返回结果,请求特定接口时返回你自己配置的资源。
举例:将“baidu”这个关键字跟本地电脑的一张图片绑定,再访问带有“baidu”关键字的地址,就会被劫持,具体步骤如图所示:
2.3.直接修改指定接口的返回结果,构造所需要的测试场景
举例:
🎁更多干货
完整版文档下载方式:
这些资料,对于从事【软件测试】等相关工作的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴我走过了最艰难的路程,希望也能帮助到你!以上均可以分享。
在评论区和我互动交流或者私❤我【软件测试学习】领取即可,拿走不谢。
如果我的博客对你有帮助、如果你喜欢我的博客内容,请 “👍点赞” “✍️评论” “💙收藏” 一键三连哦!文章来源:https://www.toymoban.com/news/detail-551173.html
到了这里,关于fiddler在软件测试中的使用(详细版)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
![[课业] | 软件安全 | 使用渗透性工具Metasploit进行漏洞测试](https://imgs.yssmx.com/Uploads/2024/02/763222-1.jpeg)
