我必须开发一个安全测试框架来确保我们应用程序中的所有输出都经过编码。
我有很多帖子和获取 http 请求
每个请求可能有 1 个或多个参数
我想用 JMeter 做什么:
我需要通过将值更改为字符串来单独测试每个参数。因此,如果我有 2 个请求,每个请求 5 个参数,我将不得不运行 5 次。此外,我将有一个断言点来验证响应数据。
我的一些想法是记录所有 http 请求。从 JMX 文件创建一个包含请求详细信息、参数和值的电子表格。浏览列表并将每个值修改为我的字符串值 CANARY123!@#$%^& (。然后验证响应数据不包含 CANARY123!@#$%^& ( 并且实际上它返回编码。运行测试每个数据行。
还认为这些可能有用:计数器、reg 表达式、用户变量......
我应该使用 JMeter 来完成这项任务吗?如果是这样,怎么做?我应该使用 Burp Suite 之类的东西吗?