Fiddler2工具分享之并发安全测试.pdf

Fiddler2工具分享 之 并发安全测试 version:2.0 Designer : junewang Creation Date : 20 10-11-11 1. Fiddler2介绍 1.1 应用背景： 华丰2010爱心点亮中国-领取种子活动，由于安全机制漏洞，使用fiddler进行并发领取时， 弹出了包含SQL语句的对话框，导致安全信息泄漏。所以有必要在活动上线前，做并发 测试，来检验物品领取、发钻、发QQ秀等有没有并发时的安全风险。 1.2简介Fiddler ： Fiddler 是一个IE 与 Server 之间的通讯分析器，和httpwatch 相似，它能够抓包到所有 你电脑和互联网之间的http 通讯。然而Fiddler 还可以设置断点，甚至还可以修改发送 和接收的数据，在本机就可以方便的观察到被修改的请求带来的效果。功能非常强大。 当启用 Fiddler 时，IE 的代理设定会变成 :8888，所有IE 与webserver 之间的 HTTP 协议均会透过 WinINET 和fiddler 。 如下图： IE/FF WinINET Fiddler Web Server 安装fiddler2 后，打开软件，左边大框是Web Session 区域，显示的是所有抓包文件的 细节，相关栏位就不多介绍了，与其他抓包工具相似，值得注意的是栏位1，每行第一 栏显示的图标是本文档之后要留意变化的地方。 右侧大框显示的是每一条记录抓取到的发送接收请求详情，以及各种分析、调试的 tab 页 上图是华丰首页打开后抓包情况。在抓包的list 右键查看属性，可以查看到url 的host 。 在并发前请确认是否是向测试环境并发请求。 关于Fiddler 的详细功能，在Fiddler 工具其他分享中会详细介绍，本文主要叙述并发测 试的操作步骤，以便同学们方便应用。 当抓包不满意时，我们用ctrl+x 删除记录的session,ctrl+shift+x 清除缓存，直到抓到我 们需要的操作请求。下图为我抓到的华丰点击“领取种子”时，向server 端提交的get 请 求。 当这个请求多人并发时，数据库就有可能会出现查询和插入的错误，这时如果反馈到前 台页面，就会导致数据库表信息泄漏。 1.3 官网及下载地址 可以从/Fiddler2/version.asp 下载必威体育精装版版本，大小约600Kb 2. 应用场景 一般就是涉及到读写数据库的各种并发操作。简单列举： 2.1 抽奖 在没有加入验证码机制的抽奖活动中，需要验证并发抽奖的结果是否符合预期。 测试环境中，事先设定红钻概率为99.9%，运用并发请求，查看结果是否会送多份红钻。 2.2 投票 这个环节经常会被网友利用来刷投票，如果不加验证码的话，则需要做并发验证 2.3 虚拟积分、金币等 此类问题一般为在回答问题正确或结束，或者是点击领取时，给用户加积分，需要并发 请求，检查积分是否成倍增加，或是可以多次领分。 2.4领取虚拟物品（挂件、种子等） 例如Qzone挂件、Qzone农场种子、活动礼包、兑换码、激活码、购物券、送礼物。。。。 都是需要关注的风险点。 3.并发测试的基本思路： 单用户操作时先统计好数据A ，并发操作后再统计数据B ，检查A 与B 是否一致。 比如：单用户领取后，是2 个种子+50 积分，10 请求并发领取后是20 个种子+500 积分， 预期是领取积分只能领一次，种子每次只能领2 个，每天只能领一次，但是并发就会一 次性领取多份，这就存在并发漏洞。 4.并发如何操作： 以“华丰-领取种子”作为案例，按照以下步骤进行并发操作 4.1 步骤1：要测试的页面打开后，删除掉之前Fiddler 缓存和记录的session 4.2 步骤2 ：设置断点为“Before Requests” ，意味着在向web 后台请求前拦截请求。 也可以不需要下拉菜单，直接在软件左下角第三栏空白状态处点击一次，变成如下图所 示状态 4.3 步骤3 ：点击页面，触发获取种子的请求 4.