我必须开发一个安全测试框架,以确保我们的应用程序中的所有输出都已编码。
我有很多帖子&获取http请求
每个请求可能包含1个或多个参数
我想用JMeter做什么:
我需要通过将值更改为字符串来单独测试每个参数。所以,如果我有2个请求,每个请求5个参数 我将不得不跑5次。另外,我将有一个断言点来验证响应数据。
我的一些想法是记录所有的http请求。从JMX文件创建一个包含请求详细信息,参数&值。浏览列表并将每个值修改为我的字符串值CANARY123!@#$%^& (。然后验证响应数据不包含CANARY123!@#$%^& (和事实上,它回来编码。运行每个数据行的测试。
还认为这些可能有用:计数器,reg表达式,用户变量......
我应该使用JMeter执行此任务吗?如果是这样,怎么样?我应该使用像Burp Suite这样的东西吗?
答案 0 :(得分:0)
您通常可以使用包含要发送的参数的CSV数据集,并使用转义的断言进行测试。
读:
答案 1 :(得分:0)
我建议使用专门处理此类事情的安全工具 - 他们将检查的不仅仅是编码。 Burp非常好,但免费版本不包括自动扫描。
我建议您也查看OWASP ZAP:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
我知道很多人/公司使用ZAP作为CI的自动化部分:这里有更多相关信息:http://code.google.com/p/zaproxy/wiki/SecRegTests
Simon(ZAP项目负责人)