0

我必须开发一个安全测试框架来确保我们应用程序中的所有输出都经过编码。

我有很多帖子和获取 http 请求

每个请求可能有 1 个或多个参数

我想用 JMeter 做什么:

我需要通过将值更改为字符串来单独测试每个参数。因此,如果我有 2 个请求,每个请求 5 个参数,我将不得不运行 5 次。此外,我将有一个断言点来验证响应数据。

我的一些想法是记录所有 http 请求。从 JMX 文件创建一个包含请求详细信息、参数和值的电子表格。浏览列表并将每个值修改为我的字符串值 CANARY123!@#$%^& (。然后验证响应数据不包含 CANARY123!@#$%^& ( 并且实际上它返回编码。运行测试每个数据行。

还认为这些可能有用:计数器、reg 表达式、用户变量......

我应该使用 JMeter 来完成这项任务吗?如果是这样,怎么做?我应该使用 Burp Suite 之类的东西吗?

4

2 回答 2

0

您通常可以使用 CSV 数据集,其中将包含要发送的参数并使用它们被转义的断言进行测试。

读:

于 2013-05-21T19:00:17.880 回答
0

我建议使用专门处理此类事情的安全工具 - 他们将检查的不仅仅是编码。Burp 非常好,但免费版本不包括自动扫描。

我还建议查看 OWASP ZAP:https ://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

我知道很多人/公司使用 ZAP 作为 CI 的自动化部分:这里有更多关于此的信息:http ://code.google.com/p/zaproxy/wiki/SecRegTests

西蒙(ZAP 项目负责人)

于 2013-06-13T10:20:44.123 回答