Burp+Postman+JMeter無接口文檔
一、測試目標(biāo)
- URL :http://admin.qyguo.cn
- 賬號:admin
- 密碼:admin_123&@
- 目標(biāo):完成該網(wǎng)站接口測試�、壓力測試
二、工具分析
1���、BurpSuite
- 版本:BurpSuite2021.6
- 功能:Proxy可以攔截HTTP/S的代理服務(wù)器���,作為一個在瀏覽器和目標(biāo)應(yīng)用程序之間的中間人,允許你攔截����,查看����,修改在兩個方向上的原始數(shù)據(jù)流。
- 原理:打開BurpSuite自帶的brower瀏覽器���,利用Proxy攔截網(wǎng)站的POST請求的接口及數(shù)據(jù)���。
2、Postman
- 版本:Postman8.5.1
- 功能:強大的HTTP調(diào)試與模擬插件�����。使用于API/接口功能測試工具,號稱接口測試神器
- 原理:驗證BurpSuite取得的接口���,利用Postman美化數(shù)據(jù)�����,修改數(shù)據(jù)��,發(fā)送請求數(shù)據(jù)�,然后刷新網(wǎng)頁���,刷新成功則說明接口可用�����,數(shù)據(jù)修改正確����。
3����、JMeter
- 版本:JMeter5.4.1
- 功能:模擬各種請求�,完全多線程框架允許通過多個線程并發(fā)取樣和通過多帶帶的線程組對不同的功能同時取樣
- 原理:獲取���、修改����、設(shè)置變量值在jmeter中,可以設(shè)置各種各樣的變量,無論是從外部文件引用的數(shù)據(jù),還是自定義�����、隨機的參數(shù)值等,作為變量靈活調(diào)用
三��、操作流程
第一步:在配置元件中新建–用戶定義的變量>>http信息頭管理器
- 名稱:自定義就可��;
- 值:填被測系統(tǒng)的IP地址就可�;
第二步:新建setup線程組(登錄前的線程組)>>http信息頭管理器>>http請求>>察看結(jié)果樹
1�、用burp>>代理>>打開瀏覽器>>輸入正確賬號密碼>>進入到攔截開啟/關(guān)閉
- 例,如要測登錄頁面�����,則需要輸入賬號及密碼登錄����;
- 將登錄后的路徑放置在http請求路徑中����;
- 括號中的賬號及密碼則放置在消息體數(shù)據(jù)中���;
- “{}”中的名稱或IP是需要和用戶定義的變量名稱保持一致�����;
- 如要測登錄頁面�����,則使用burp先捕捉其路徑�����,同樣的還需要加上消息體數(shù)據(jù)��;
2��、用postman>>輸入GET為json的路徑(URL+burp中的json路徑)>>Body>>raw(需添加burp生成的賬號及密碼)>>將Text選為JSON>>Headers找到后綴為json的VALUE(值)及前面的KEY(鍵)���,將值和鍵放到j(luò)meter>>http信息頭管理器中的名稱及值中;
- 輸入GET為json的路徑(URL+burp中的json路徑)����;
- Body>>raw(需添加burp生成的賬號及密碼)���;
- 將Text選為JSON;
- Headers找到后綴為json的VALUE(值)及前面的KEY(鍵)�;
- 將值和鍵放到j(luò)meter>>http信息頭管理器中的名稱及值中;
3����、察看結(jié)果樹>>看“response Body”最后返回的結(jié)果是不是““success”:true}”成功;看“Response headers”的高亮部分是cookie值
- 注意看“response Body”最后返回的結(jié)果是不是““success”:true}”成功
- 注意看“Response headers”的高亮部分是cookie值
第三步:http請求>>后置處理器>>正則表達式提取器>>
1�����、 使用正則表達式提取器
- 引用名稱:自定義就可�;
- 正則表達式:從登錄的結(jié)果樹中看高亮的那一行;
- 匹配數(shù)字:固定值填“1”就可�;
2、使用BeanShell后置處理程序
${__setProperty(Get_cookies,${get_cookies},)} 設(shè)置為全局變量- 通過使用全局變量函數(shù)助手可以自動生成(加全局變量助手的步驟)
3�����、創(chuàng)建信息頭管理器
- Cookie JSESSIONID=${__P(Get_cookies,)} (全局變量)
- 首頁不需要填參數(shù)及消息體數(shù)據(jù)
- IP:使用函數(shù)����,“{}”里面的名稱要和用戶公共的變量保持一致
- 注意看請求類型;
- 消息體數(shù)據(jù)可從burp里面獲?���。?/li>
- IP和用戶公用的變量名保持一致�;
