自动化工具 mitmproxy + python 实现游戏协议测试

最新推荐文章于 2024-05-11 11:51:42 发布
最新推荐文章于 2024-05-11 11:51:42 发布
阅读量954 收藏 2
点赞数 1
分类专栏: 软件测试 自动化测试 自动化测试工具 文章标签: 自动化 python 游戏 需求分析 学习 运维 log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DJ355/article/details/131978529
版权

目录

前言:

一、游戏协议安全测试内容

二、实现原理

三、开启 mitmproxy 并加载 addon

1、编写 websocket 的 addon

2、编写 socket 的 addon

3、开启 mitmproxy 并完成处理函数

四、总结

前言:

Mitmproxy是一款开源的代理服务器,可以在 Wireshark 等嗅探工具中使用。它可以拦截网络请求,并对请求进行修改、重定向等操作。通过使用Mitmproxy和Python语言,可以实现游戏协议测试的自动化。

一、游戏协议安全测试内容

游戏协议安全测试是一种对游戏系统进行安全性评估的测试方法。它主要针对游戏协议的安全性进行测试,以确保游戏系统的安全性和稳定性。

二、实现原理

想直接使用的同学可以跳到第三部分。

mitmproxy 作为代理,可以获取客户端与服务端通信的数据,并且可以拦截、修改和自主发送数据。当配合其证书使用时,还可以解密 wss 连接中的 websocket 数据。

  • Websotcket 数据处理源码分析

在 http 代理的过程中若发现 upgrade websocket 请求,则创建 WebSocketLayer 实例,并调用其_call_方法。

# mitmproxy/proxy/protocol/http.py
"""以下为Httplayer的_process_flow方法的部分代码"""
if f.response.status_code == 101:
    # Handle a successful HTTP 101 Switching Protocols Response,
    # received after e.g. a WebSocket upgrade request.
    # Check for WebSocket handshake
    is_websocket = (
        websockets.check_handshake(f.request.headers) and
        websockets.check_handshake(f.response.headers)
    )
    if is_websocket and not self.config.options.websocket:
        self.log(
          "Client requested WebSocket connection, but the protocol is disabled.",
          "info"
        )

    if is_websocket and self.config.options.websocket:
        layer = WebSocketLayer(self, f)
    else:
        layer = self.ctx.next_layer(self)
    layer()

WebSocketLayer 初始化时会创建用于此次 websocket 通信的编解码器。

# mitmproxy/proxy/protocol/websocket.py
"""WebSocketLayer类的init方法,省略部分代码"""
def __init__(self, ctx, handshake_flow):
    super().__init__(ctx)
    self.handshake_flow = handshake_flow

    self.connections: dict[object, WSConnection] = {}

    client_extensions = []
    server_extensions = []
    # 判断交互数据是否使用deflate压缩
    if 'Sec-WebSocket-Extensions' in handshake_flow.response.headers:
        if PerMessageDeflate.name in handshake_flow.response.headers['Sec-WebSocket-Extensions']:
            client_extensions = [PerMessageDeflate()]
            server_extensions = [PerMessageDeflate()]
    # self.client_conn和self.server_conn继承自ctx,即原http的client和server,原理为父类的__getattr__(self, name)方法返回的是getattr(self.ctx, name)。WSConnection是一个websocket协议编解码器,实际不会发送任何网络IO,文档地址:https://python-hyper.org/projects/wsproto/en/latest/basic-usage.html
    # 负责和解码server收到信息和编码server发送的信息
    self.connections[self.client_conn] = WSConnection(ConnectionType.SERVER)
    # 负责和解码client收到信息和编码client发送的信息
    self.connections[self.server_conn] = WSConnection(ConnectionType.CLIENT)

    # 构造发送给Server的websocket的握手请求
    request = Request(extensions=client_extensions,host=handshake_flow.request.host,target=handshake_flow.request.path)
    # send()方法只会构造一个适用于对应conn的数据,并不会真正发送数据,recv_data()会将信息解码,需要通过next(conn.events())获取解码后数据
    # 按上所说,下面两行代码的操作是将握手请求按client编码后发送给server编码器,然后让server编码器解码
    data = self.connections[self.server_conn].send(request)
    self.connections[self.client_conn].receive_data(data)

    event = next(self.connections[self.client_conn].events())
    assert isinstance(event, events.Request)
    # 返回给客户端接受连接响应
    data = self.connections[self.client_conn].send(AcceptConnection(extensions=server_extensions))
    self.connections[self.server_conn].receive_data(data)
    assert isinstance(next(self.connections[self.server_conn].events()), events.AcceptConnection)

WebSocketLayer 实例的_call_方法负责处理后续 websocket 通信

# mitmproxy/proxy/protocol/websocket.py
"""WebSocketLayer类的call方法,省略部分代码"""
def __call__(self):
    self.flow = WebSocketFlow(self.client_conn, self.server_conn, self.handshake_flow)
    self.flow.metadata['websocket_handshake'] = self.handshake_flow.id
    self.handshake_flow.metadata['websocket_flow'] = self.flow.id
    # 调用addons中的websocket_start(self, flow)对flow进行处理
    self.channel.ask("websocket_start",
最低0.47元/天 解锁文章
星河绛橘色的日落
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
自动化接口测试-requests+python实现
05-25
自动化接口测试通过一定的测试脚本和工具实现对接口的功能和性能的测试,以及相应的数据验证和结果分析。基于Python的requests库是当前最常用的HTTP操作库之一,在自动化接口测试中有着广泛的应用。 自动化接口...
Python 实现代理拦截http请求:mitmproxy
热门推荐
freeking101的博客
09-07 3万+
http抓包在 web 渗透上占据着非常重要的地位,这方面的工具也非常多,像 burp suite, Fiddler,Charles 每个都是搞 web 的必备神器。mitmproxy 是基于 python 编写定制脚本的代理拦截工具。anyproxy 是基于 JavaScript 编写定制脚本,功能与 mitmproxy 基本一致
mitmproxy一个支持交互式TLS拦截的HTTP代理-python
06-18
An interactive TLS-capable intercepting HTTP proxy for penetration testers and software developers. mitmproxy 该存储库包含 mitmproxy 和 pathod 项目。 mitmproxy 是一个交互式的、支持 SSL 的拦截代理,带有控制台界面。 mitmdump 是 mitmproxy 的命令行版本。 想想 HTTP 的 tcpdump。 mitmweb 是 mitmproxy 的基于 Web 的界面。 pathoc 和 pathod 是反常的 HTTP 客户端和服务器应用程序,旨在让您制作几乎所有可以想象的 HTTP 请求,包括那些创造性地违反标准的请求。 文档和帮助 一般信息、教程和预编译的二进制文件可以在 mitmproxy 和 pathod 网站上找到。 mitmproxy 的文档可以在我们的网站上找到:加入我们关于 Discourse 的讨论论坛提出问题,互相帮助解决问题,并为项目提出新的想法。 如果您想为 mitmproxy 本身做出贡献,请加入
游戏接口协议测试
最新发布
gameRunner的博客
05-11 1013
随着对于质量保障和安全性等各方面的要求越来越高,接口测试测试工作中所占的比重越来越大,不论是web项目、app还是游戏,接口测试都是不可或缺的一环。而在游戏业中,是否做好接口测试格外重要,往小了说影响是单个接口单系统,往大了说可能影响游戏的整体运营。此篇主要以游戏测试作为锚点,重点阐述在游测岗位怎么开展接口测试协议方面的话以tcp为例,希望能对想了解的同学有一定的帮助。
抓包工具mitmproxy
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
02-20 1万+
今天给大家分享一个非常实用抓包工具,不需要安装软件,直接可以在浏览器上进行抓包,mitmproxy其实是基于python的第三方库,并且配合python脚本可以篡改请求和响应数据,使用起来相对于简单,易于上手,推荐给大家。
mitmproxy】一、简介与快速上手
wanzheng_96的博客
09-21 1万+
mitmproxy 使用文档(一)http包拦截、脚本定制、重放
使用 mitmproxy + python 做拦截代理
weixin_45426071的博客
10-08 2660
mitmproxy 是什么 顾名思义,mitmproxy 就是用于 MITM 的 proxyMITM 即中间人攻击(Man-in-the-middle attack)。用于中间人攻击的代理首先会向正常的代理一样转发请求,保障服务端与客户端的通信,其次,会适时的查、记录其截获的数据,或篡改数据,引发服务端或客户端特定的行为。 不同于 fiddler 或 wireshark 等抓包工具mitmproxy 不仅可以截获请求帮助开发者查看、分析,更可以通过自定义脚本进行二次开发。举例来说,利用 f.
python mitmproxy抓包库
2301_78287784的博客
06-03 1677
mitmproxy是一款用Python编写的支持HTTP(S)的中间人代理工具。它可以拦截、查看、修改、重放和保存HTTP/HTTPS流量 ,支持命令行界面和图形界面,可用于安全测试、网络调试、API开发和反向工程等场景。mitmproxy具有很高的灵活性和扩展性,可以通过插件机制进行定制化开发和功能扩展。本文注意介绍命令行模式。
robotframework+python实现http接口自动化测试框架
02-25
本文来自于简书,本文主要介绍了基础框架选择,搭建思路,测试数据,测试框架,执行测试等。下周即将展开一个http...最方便的方法就是用python直接写代码,代码和测试数据分离,测试数据放在excel中保存。这种实现最快
python+appium+Android 自动化测试框架
03-31
本框架的核心是利用Python作为编程语言,Appium作为跨平台的自动化测试工具,以及Android SDK为运行环境,来实现对Android应用程序的自动化测试。 首先,Python是一种广泛应用于各种领域的高级编程语言,其简洁明了...
基于python实现的http+json协议接口自动化测试框架
03-15
【标题】基于Python实现的HTTP+JSON协议接口自动化测试框架 在软件开发过程中,接口测试是确保系统间数据传输正确性和系统集成稳定性的重要环节。HTTP(超文本传输协议)是互联网上应用最为广泛的一种网络协议,而...
python结合mitmproxy做拦截代理
weixin_45552310的博客
03-08 4285
一、mitmproxy介绍 mitmproxy 就是用于 MITM 的 proxyMITM 即中间人攻击(Man-in-the-middle attack)。用于中间人攻击的代理首先会向正常的代理一样转发请求,保障服务端与客户端的通信,其次,会适时的查、记录其截获的数据,或篡改数据,引发服务端或客户端特定的行为。 mitmproxy可以拦截http和https请求,如果需要拦截https请求需要安装证书 二、mitmproxy安装(windows下) 1. 运行下面命令进行安装 pip install m
mitmproxy安装和使用
xihongshi09221的博客
01-19 3597
举例来说,利用 Fiddler 可以过滤出浏览器对某个特定 url 的请求,并查看、分析其数据,但实现不了高度定制化的需求,类似于:“截获对浏览器对该 url 的请求,将返回内容置空,并将真实的返回内容存到某个数据库,出现异常时发出邮件通知”。:最好是配置python3.8及以上的python环境,如果是以下的版本,则最好安装5.2.0版本的mitmproxy,因为其他的版本有编码问题。3、手机浏览器访问http://mitm.it/ ,下载对应版本的证书并安装。前置条件:安装并配置好python环境。
Python好酷|抓包神器 mitmproxy
所寫即所思|一个阿里质量人对测试的所感所悟。
05-16 3279
mitmproxy(Man-in-the-middle attack,中间人攻击代理)是一款提供交互能力的抓包工具,可以用来拦截、修改、保存 HTTP/HTTPS 请求,对于爬虫尤其是基于APP的爬虫来说,是必不可少的一款神器。mitmproxy 基于Python开发,可以通过Python代码对请求和响应进行自定义过滤和修改。 1. 安装 mitmproxy安装 >> pip install mitmproxy >> mitmproxy --version M.
史上最全测试开发工具推荐(含自动化、性能、稳定性、抓包)
MXB_1220的博客
06-05 2481
openatx开源的ui自动化工具,支持android和ios。主要面向的编程语言是python,api设计简洁易用,在开源社区也是很受欢迎。
网络游戏协议测试(接口测试)的一些总结
Testerhomee的博客
06-13 5992
网络游戏协议测试
MitmProxy介绍以及使用
weixin_42182687的博客
12-26 1万+
1、MitmProxy介绍 mitmproxy 就是用于 MITM 的 代理(proxy), 而MITM,也就是(Man-in-the-middle attack)中间人攻击,指的就是通过各种技术手段将入侵者的一台计算机(服务器)虚拟放置在网络连接的两台计算机之间。(SMB会话劫持、DNS欺骗等) ......
web自动化测试selenium+python
08-29
Web自动化测试是指通过编写自动化脚本来模拟用户在Web应用程序上的操作,以验证应用程序的功能和性能。Selenium是一种流行的Web自动化测试工具,而Python是一种常用的编程语言。结合使用Selenium和Python,可以实现高效的Web自动化测试。 要使用Selenium进行Python的Web自动化测试,首先需要搭建相应的环境。可以按照以下步骤进行搭建: 1. 安装Python:访问Python官方网站,下载并安装Python的最新版本。 2. 安装Selenium:使用Python的包管理工具pip,在命令行中执行以下命令安装Selenium包: ``` pip install selenium ``` 3. 下载浏览器驱动:根据你所使用的浏览器类型,下载相应的浏览器驱动。例如,如果你使用Chrome浏览器,可以下载Chrome浏览器驱动。 4. 配置浏览器驱动:将下载的浏览器驱动添加到系统的环境变量中,这样Selenium才能找到并使用它。 完成环境搭建后,就可以编写自动化测试脚本了。以下是一个简单的示例脚本: ```python from selenium import webdriver # 创建WebDriver对象,启动浏览器 driver = webdriver.Chrome() # 打开网页 driver.get('https://www.baidu.com') # 查找搜索框并输入内容 input_box = driver.find_element_by_css_selector('#kw') input_box.send_keys('selenium') # 查找“百度一下”按钮并点击 submit_button = driver.find_element_by_css_selector('#su') submit_button.click() # 检查搜索结果中是否包含关键字 assert 'selenium' in driver.title # 关闭浏览器 driver.quit() ``` 以上脚本使用Selenium的API来模拟用户在百度搜索引擎上的操作,并检查搜索结果中是否包含关键字"selenium"。可以根据实际需求编写更复杂的自动化测试脚本。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Web自动化测试环境搭建之Python+Selenium](https://download.csdn.net/download/weixin_38690402/15443144)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [Web自动化测试 —— 测试环境搭建 (Selenium+Python)及视频操作](https://blog.csdn.net/Faith_Lzt/article/details/119187797)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [如何使用 Python+selenium 进行 web 自动化测试?](https://blog.csdn.net/caixiangting/article/details/130581863)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值