如何使用 JMeter 测试 HTTP 请求中的编码？打嗝套房？

Question

我必须开发一个安全测试框架来确保我们应用程序中的所有输出都经过编码。

我有很多 post & get http 请求

每个请求可能有 1 个或多个参数

我想用 JMeter 做什么：

我需要通过将值更改为字符串来单独测试每个参数。所以如果我有 2 个请求，每个请求 5 个参数 我将不得不跑 5 次。此外，我将有一个断言点来验证响应数据。

我的一些想法是记录所有 http 请求。从 JMX 文件创建一个包含请求详细信息、参数和值的电子表格。浏览列表并将每个值修改为我的字符串值 CANARY123!@#$%^&(。然后验证响应数据不包含 CANARY123!@#$%^&( 并且在事实上它是编码回来的。对每个数据行运行测试。

还认为这些可能有用：计数器、reg 表达式、用户变量...

我应该使用 JMeter 来完成这项任务吗？如果是这样，怎么做？我应该使用 Burp Suite 之类的东西吗？

Answer 1

我建议使用专门处理此类事情的安全工具 - 他们会检查的不仅仅是编码。 Burp 非常好，但是免费版不包括自动扫描。

我还建议您查看 OWASP ZAP：https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

我知道很多人/公司使用 ZAP 作为 CI 的自动化部分：这里有更多关于此的信息：http://code.google.com/p/zaproxy/wiki/SecRegTests

西蒙（ZAP 项目负责人）

Answer 2

您通常可以使用 CSV 数据集，该数据集将包含要发送的参数并使用它们被转义的断言进行测试。

阅读：

• http://jmeter.apache.org/usermanual/test_plan.html

• http://jmeter.apache.org/usermanual/component_reference.html