自动化工具 mitmproxy + python 实现游戏协议测试

目录

前言:

一、游戏协议安全测试内容

二、实现原理

三、开启 mitmproxy 并加载 addon

1、编写 websocket 的 addon

2、编写 socket 的 addon

3、开启 mitmproxy 并完成处理函数

四、总结


前言:

Mitmproxy是一款开源的代理服务器,可以在 Wireshark 等嗅探工具中使用。它可以拦截网络请求,并对请求进行修改、重定向等操作。通过使用Mitmproxy和Python语言,可以实现游戏协议测试的自动化。

一、游戏协议安全测试内容

游戏协议安全测试是一种对游戏系统进行安全性评估的测试方法。它主要针对游戏协议的安全性进行测试,以确保游戏系统的安全性和稳定性。


二、实现原理

想直接使用的同学可以跳到第三部分。

mitmproxy 作为代理,可以获取客户端与服务端通信的数据,并且可以拦截、修改和自主发送数据。当配合其证书使用时,还可以解密 wss 连接中的 websocket 数据。

  • Websotcket 数据处理源码分析

在 http 代理的过程中若发现 upgrade websocket 请求,则创建 WebSocketLayer 实例,并调用其_call_方法。

# mitmproxy/proxy/protocol/http.py
"""以下为Httplayer的_process_flow方法的部分代码"""
if f.response.status_code == 101:
    # Handle a successful HTTP 101 Switching Protocols Response,
    # received after e.g. a WebSocket upgrade request.
    # Check for WebSocket handshake
    is_websocket = (
        websockets.check_handshake(f.request.headers) and
        websockets.check_handshake(f.response.headers)
    )
    if is_websocket and not self.config.options.websocket:
        self.log(
          "Client requested WebSocket connection, but the protocol is disabled.",
          "info"
        )

    if is_websocket and self.config.options.websocket:
        layer = WebSocketLayer(self, f)
    else:
        layer = self.ctx.next_layer(self)
    layer()

WebSocketLayer 初始化时会创建用于此次 websocket 通信的编解码器。

# mitmproxy/proxy/protocol/websocket.py
"""WebSocketLayer类的init方法,省略部分代码"""
def __init__(self, ctx, handshake_flow):
    super().__init__(ctx)
    self.handshake_flow = handshake_flow

    self.connections: dict[object, WSConnection] = {}

    client_extensions = []
    server_extensions = []
    # 判断交互数据是否使用deflate压缩
    if 'Sec-WebSocket-Extensions' in handshake_flow.response.headers:
        if PerMessageDeflate.name in handshake_flow.response.headers['Sec-WebSocket-Extensions']:
            client_extensions = [PerMessageDeflate()]
            server_extensions = [PerMessageDeflate()]
    # self.client_conn和self.server_conn继承自ctx,即原http的client和server,原理为父类的__getattr__(self, name)方法返回的是getattr(self.ctx, name)。WSConnection是一个websocket协议编解码器,实际不会发送任何网络IO,文档地址:https://python-hyper.org/projects/wsproto/en/latest/basic-usage.html
    # 负责和解码server收到信息和编码server发送的信息
    self.connections[self.client_conn] = WSConnection(ConnectionType.SERVER)
    # 负责和解码client收到信息和编码client发送的信息
    self.connections[self.server_conn] = WSConnection(ConnectionType.CLIENT)

    # 构造发送给Server的websocket的握手请求
    request = Request(extensions=client_extensions,host=handshake_flow.request.host,target=handshake_flow.request.path)
    # send()方法只会构造一个适用于对应conn的数据,并不会真正发送数据,recv_data()会将信息解码,需要通过next(conn.events())获取解码后数据
    # 按上所说,下面两行代码的操作是将握手请求按client编码后发送给server编码器,然后让server编码器解码
    data = self.connections[self.server_conn].send(request)
    self.connections[self.client_conn].receive_data(data)

    event = next(self.connections[self.client_conn].events())
    assert isinstance(event, events.Request)
    # 返回给客户端接受连接响应
    data = self.connections[self.client_conn].send(AcceptConnection(extensions=server_extensions))
    self.connections[self.server_conn].receive_data(data)
    assert isinstance(next(self.connections[self.server_conn].events()), events.AcceptConnection)

WebSocketLayer 实例的_call_方法负责处理后续 websocket 通信

# mitmproxy/proxy/protocol/websocket.py
"""WebSocketLayer类的call方法,省略部分代码"""
def __call__(self):
    self.flow = WebSocketFlow(self.client_conn, self.server_conn, self.handshake_flow)
    self.flow.metadata['websocket_handshake'] = self.handshake_flow.id
    self.handshake_flow.metadata['websocket_flow'] = self.flow.id
    # 调用addons中的websocket_start(self, flow)对flow进行处理
    self.channel.ask("websocket_start",
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web自动化测试是指通过编写自动化脚本来模拟用户在Web应用程序上的操作,以验证应用程序的功能和性能。Selenium是一种流行的Web自动化测试工具,而Python是一种常用的编程语言。结合使用Selenium和Python,可以实现高效的Web自动化测试。 要使用Selenium进行Python的Web自动化测试,首先需要搭建相应的环境。可以按照以下步骤进行搭建: 1. 安装Python:访问Python官方网站,下载并安装Python的最新版本。 2. 安装Selenium:使用Python的包管理工具pip,在命令行中执行以下命令安装Selenium包: ``` pip install selenium ``` 3. 下载浏览器驱动:根据你所使用的浏览器类型,下载相应的浏览器驱动。例如,如果你使用Chrome浏览器,可以下载Chrome浏览器驱动。 4. 配置浏览器驱动:将下载的浏览器驱动添加到系统的环境变量中,这样Selenium才能找到并使用它。 完成环境搭建后,就可以编写自动化测试脚本了。以下是一个简单的示例脚本: ```python from selenium import webdriver # 创建WebDriver对象,启动浏览器 driver = webdriver.Chrome() # 打开网页 driver.get('https://www.baidu.com') # 查找搜索框并输入内容 input_box = driver.find_element_by_css_selector('#kw') input_box.send_keys('selenium') # 查找“百度一下”按钮并点击 submit_button = driver.find_element_by_css_selector('#su') submit_button.click() # 检查搜索结果中是否包含关键字 assert 'selenium' in driver.title # 关闭浏览器 driver.quit() ``` 以上脚本使用Selenium的API来模拟用户在百度搜索引擎上的操作,并检查搜索结果中是否包含关键字"selenium"。可以根据实际需求编写更复杂的自动化测试脚本。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Web自动化测试环境搭建之Python+Selenium](https://download.csdn.net/download/weixin_38690402/15443144)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [Web自动化测试 —— 测试环境搭建 (Selenium+Python)及视频操作](https://blog.csdn.net/Faith_Lzt/article/details/119187797)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [如何使用 Python+selenium 进行 web 自动化测试?](https://blog.csdn.net/caixiangting/article/details/130581863)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值