0

アプリケーションのすべての出力がエンコードされていることを確認するために、セキュリティ テスト フレームワークを開発する必要があります。

多くの投稿があり、http リクエストを取得しています

各リクエストには 1 つまたは複数のパラメータが含まれる場合があります

JMeterでやりたかったこと:

値を文字列に変更して、各パラメーターを個別にテストする必要があります。したがって、2 つのリクエスト、それぞれ 5 つのパラメーターがある場合、5 回実行する必要があります。さらに、応答データを検証するためのアサーション ポイントを用意します。

私が持っていたいくつかのアイデアは、すべての http リクエストを記録することでした。JMX ファイルから、リクエストの詳細、パラメーター、および値を含むスプレッドシートを作成します。リストを調べて、各値を文字列値 CANARY123!@#$%^& (に変更します。次に、応答データに CANARY123!@#$%^& ( が含まれていないことと、実際にエンコードされて戻ってきたことを確認します。実行します。データ行ごとにテストします。

また、これらが役立つかもしれないと考えました:カウンター、正規表現、ユーザー変数...

このタスクに JMeter を使用する必要がありますか? もしそうなら、どのように?Burp Suite のようなものを使用する必要がありますか?

4

2 に答える 2

0

この種のことに特化したセキュリティ ツールを使用することをお勧めします。これらのツールは、エンコーディング以上のものをチェックします。Burp は非常に優れていますが、無料版には自動スキャンが含まれていません。

OWASP ZAP も参照することをお勧めします: https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

ZAP を CI の自動化された部分として使用している多くの人/企業を知っています: これに関する詳細情報はこちら: http://code.google.com/p/zaproxy/wiki/SecRegTests

サイモン (ZAP プロジェクト リーダー)

于 2013-06-13T10:20:44.123 に答える