JMeter를 사용하여 HTTP 요청의 인코딩을 테스트하는 방법? 버프 스위트?

Question

보안 테스트 프레임 워크를 개발하여 응용 프로그램의 모든 출력이 인코딩되도록해야합니다.

을 나는를 변경하여 individualy 각 매개 변수를 테스트해야합니다

내가 많은 포스트를 & GET HTTP는

각 요청이 내가 JMeter를 함께하고 싶었던 무엇 하나 개 또는 여러 개의 매개 변수

이있을 수 있습니다 요청 값을 문자열로 반환합니다. 따라서 요청이 2 개인 경우 각각 5 개의 매개 변수 5 번 실행해야합니다. 또한 응답 데이터의 유효성을 확인하기위한 주장 포인트를 갖게됩니다.

내가 가진 모든 아이디어는 모든 http 요청을 기록하는 것이 었습니다 .JMX 파일에서 요청 세부 사항이있는 스프레드 시트를 만들고 매개 변수 & 값을 기록합니다. 목록을 살펴보고 각 값을 내 문자열 값 CANARY123! @ # $ %^& 으로 수정하십시오. 그런 다음 응답 데이터에 CANARY123! @ # $ %^&이 포함되어 있지 않은지 확인하십시오. .. 각 데이터 행에 대한 테스트 실행

이러한 유용 할 거라고 생각 :? 카운터,

내가 그렇다면, 어떻게 내가 뭔가를 사용해야이 작업을 위해 JMeter를 사용해야합니까 ... 표현, 사용자 변수를 등록 Burp Suite와 같은 메시지 유형을 사용하는 경우

Answer 1

내가 이런 종류의 전문 보안 도구를 사용하는 것이 좋습니다 것 - 그들은 단지 이상 확인합니다 부호화. Burp는 ​​매우 좋지만 무료 버전에는 자동화 된 검색 기능이 포함되어 있지 않습니다.

나는 또한 OWASP ZAP보고 권 해드립니다 : https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

내가 CI의 자동화 부분으로 ZAP를 사용하는 사람/회사의 많은 알고는 : 여기에 대한 좀 더 많은 정보를 프로그래머 : http://code.google.com/p/zaproxy/wiki/SecRegTests

시몬 (ZAP 프로젝트 리드)

Answer 2

일반적으로 보낼 매개 변수를 포함하는 CSV 데이터 집합을 사용하고 이스케이프 된 어설 션을 사용하여 테스트 할 수 있습니다.

읽기 :

• http://jmeter.apache.org/usermanual/test_plan.html

• http://jmeter.apache.org/usermanual/component_reference.html