自动化工具 mitmproxy + python 实现游戏协议测试

最新推荐文章于 2024-05-11 11:51:42 发布
最新推荐文章于 2024-05-11 11:51:42 发布
阅读量953 收藏 2
点赞数 1
分类专栏: 软件测试 自动化测试 自动化测试工具 文章标签: 自动化 python 游戏 需求分析 学习 运维 log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DJ355/article/details/131978529
版权

目录

前言:

一、游戏协议安全测试内容

二、实现原理

三、开启 mitmproxy 并加载 addon

1、编写 websocket 的 addon

2、编写 socket 的 addon

3、开启 mitmproxy 并完成处理函数

四、总结

前言:

Mitmproxy是一款开源的代理服务器,可以在 Wireshark 等嗅探工具中使用。它可以拦截网络请求,并对请求进行修改、重定向等操作。通过使用Mitmproxy和Python语言,可以实现游戏协议测试的自动化。

一、游戏协议安全测试内容

游戏协议安全测试是一种对游戏系统进行安全性评估的测试方法。它主要针对游戏协议的安全性进行测试,以确保游戏系统的安全性和稳定性。

二、实现原理

想直接使用的同学可以跳到第三部分。

mitmproxy 作为代理,可以获取客户端与服务端通信的数据,并且可以拦截、修改和自主发送数据。当配合其证书使用时,还可以解密 wss 连接中的 websocket 数据。

  • Websotcket 数据处理源码分析

在 http 代理的过程中若发现 upgrade websocket 请求,则创建 WebSocketLayer 实例,并调用其_call_方法。

# mitmproxy/proxy/protocol/http.py
"""以下为Httplayer的_process_flow方法的部分代码"""
if f.response.status_code == 101:
    # Handle a successful HTTP 101 Switching Protocols Response,
    # received after e.g. a WebSocket upgrade request.
    # Check for WebSocket handshake
    is_websocket = (
        websockets.check_handshake(f.request.headers) and
        websockets.check_handshake(f.response.headers)
    )
    if is_websocket and not self.config.options.websocket:
        self.log(
          "Client requested WebSocket connection, but the protocol is disabled.",
          "info"
        )

    if is_websocket and self.config.options.websocket:
        layer = WebSocketLayer(self, f)
    else:
        layer = self.ctx.next_layer(self)
    layer()

WebSocketLayer 初始化时会创建用于此次 websocket 通信的编解码器。

# mitmproxy/proxy/protocol/websocket.py
"""WebSocketLayer类的init方法,省略部分代码"""
def __init__(self, ctx, handshake_flow):
    super().__init__(ctx)
    self.handshake_flow = handshake_flow

    self.connections: dict[object, WSConnection] = {}

    client_extensions = []
    server_extensions = []
    # 判断交互数据是否使用deflate压缩
    if 'Sec-WebSocket-Extensions' in handshake_flow.response.headers:
        if PerMessageDeflate.name in handshake_flow.response.headers['Sec-WebSocket-Extensions']:
            client_extensions = [PerMessageDeflate()]
            server_extensions = [PerMessageDeflate()]
    # self.client_conn和self.server_conn继承自ctx,即原http的client和server,原理为父类的__getattr__(self, name)方法返回的是getattr(self.ctx, name)。WSConnection是一个websocket协议编解码器,实际不会发送任何网络IO,文档地址:https://python-hyper.org/projects/wsproto/en/latest/basic-usage.html
    # 负责和解码server收到信息和编码server发送的信息
    self.connections[self.client_conn] = WSConnection(ConnectionType.SERVER)
    # 负责和解码client收到信息和编码client发送的信息
    self.connections[self.server_conn] = WSConnection(ConnectionType.CLIENT)

    # 构造发送给Server的websocket的握手请求
    request = Request(extensions=client_extensions,host=handshake_flow.request.host,target=handshake_flow.request.path)
    # send()方法只会构造一个适用于对应conn的数据,并不会真正发送数据,recv_data()会将信息解码,需要通过next(conn.events())获取解码后数据
    # 按上所说,下面两行代码的操作是将握手请求按client编码后发送给server编码器,然后让server编码器解码
    data = self.connections[self.server_conn].send(request)
    self.connections[self.client_conn].receive_data(data)

    event = next(self.connections[self.client_conn].events())
    assert isinstance(event, events.Request)
    # 返回给客户端接受连接响应
    data = self.connections[self.client_conn].send(AcceptConnection(extensions=server_extensions))
    self.connections[self.server_conn].receive_data(data)
    assert isinstance(next(self.connections[self.server_conn].events()), events.AcceptConnection)

WebSocketLayer 实例的_call_方法负责处理后续 websocket 通信

# mitmproxy/proxy/protocol/websocket.py
"""WebSocketLayer类的call方法,省略部分代码"""
def __call__(self):
    self.flow = WebSocketFlow(self.client_conn, self.server_conn, self.handshake_flow)
    self.flow.metadata['websocket_handshake'] = self.handshake_flow.id
    self.handshake_flow.metadata['websocket_flow'] = self.flow.id
    # 调用addons中的websocket_start(self, flow)对flow进行处理
    self.channel.ask("websocket_start",
最低0.47元/天 解锁文章
星河绛橘色的日落
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
自动化接口测试-requests+python实现
05-25
自动化接口测试通过一定的测试脚本和工具实现对接口的功能和性能的测试,以及相应的数据验证和结果分析。基于Python的requests库是当前最常用的HTTP操作库之一,在自动化接口测试中有着广泛的应用。 自动化接口...
python+appium+Android 自动化测试框架
03-31
本框架的核心是利用Python作为编程语言,Appium作为跨平台的自动化测试工具,以及Android SDK为运行环境,来实现对Android应用程序的自动化测试。 首先,Python是一种广泛应用于各种领域的高级编程语言,其简洁明了...
Python 实现代理拦截http请求:mitmproxy
热门推荐
freeking101的博客
09-07 3万+
http抓包在 web 渗透上占据着非常重要的地位,这方面的工具也非常多,像 burp suite, Fiddler,Charles 每个都是搞 web 的必备神器。mitmproxy 是基于 python 编写定制脚本的代理拦截工具。anyproxy 是基于 JavaScript 编写定制脚本,功能与 mitmproxy 基本一致
抓包工具mitmproxy
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
02-20 1万+
今天给大家分享一个非常实用抓包工具,不需要安装软件,直接可以在浏览器上进行抓包,mitmproxy其实是基于python的第三方库,并且配合python脚本可以篡改请求和响应数据,使用起来相对于简单,易于上手,推荐给大家。
游戏接口协议测试
最新发布
gameRunner的博客
05-11 1009
随着对于质量保障和安全性等各方面的要求越来越高,接口测试测试工作中所占的比重越来越大,不论是web项目、app还是游戏,接口测试都是不可或缺的一环。而在游戏业中,是否做好接口测试格外重要,往小了说影响是单个接口单系统,往大了说可能影响游戏的整体运营。此篇主要以游戏测试作为锚点,重点阐述在游测岗位怎么开展接口测试协议方面的话以tcp为例,希望能对想了解的同学有一定的帮助。
使用 mitmproxy + python 做拦截代理
weixin_45426071的博客
10-08 2660
mitmproxy 是什么 顾名思义,mitmproxy 就是用于 MITM 的 proxyMITM 即中间人攻击(Man-in-the-middle attack)。用于中间人攻击的代理首先会向正常的代理一样转发请求,保障服务端与客户端的通信,其次,会适时的查、记录其截获的数据,或篡改数据,引发服务端或客户端特定的行为。 不同于 fiddler 或 wireshark 等抓包工具mitmproxy 不仅可以截获请求帮助开发者查看、分析,更可以通过自定义脚本进行二次开发。举例来说,利用 f.
python mitmproxy抓包库
YLF123456789000的博客
06-14 2593
mitmproxy是一款用Python编写的支持HTTP(S)的中间人代理工具。它可以拦截、查看、修改、重放和保存HTTP/HTTPS流量 ,支持命令行界面和图形界面,可用于安全测试、网络调试、API开发和反向工程等场景。mitmproxy具有很高的灵活性和扩展性,可以通过插件机制进行定制化开发和功能扩展。本文注意介绍命令行模式。
mitmproxy安装与配置
学而思(xiejava的blog)
02-29 2681
mitmproxy是一个免费的开源交互式的HTTPS代理工具。它类似于其他抓包工具如WireShark和Fiddler,支持抓取HTTP和HTTPS协议的数据包,并可以通过控制台形式进行操作。mitmproxy具有两个非常有用的组件:mitmdump和mitmweb。mitmdump是mitmproxy的命令行接口,可以直接抓取请求数据,而mitmweb是一个web程序,可以清楚地观察mitmproxy抓取的请求数据。 本文介绍mitmproxy的安装与配置,通过mitmproxy代理进行抓包。
mitmproxy 用法】
天下任我行
08-06 3502
mitmproxy是一组工具,可为HTTP/1,HTTP/2和WebSockets提供交互式的,具有SSL/TLS功能的拦截代理(可以对Web、Mobile进行抓包)。mitmproxy相比Charles、fiddler的优点在于它可以命令行方式或脚本的方式进行mock数据,还可以对请求数据进行二次开发,进入高度二次定制。mitmproxy 官网和mitmproxy 官方文档。.........
robotframework+python实现http接口自动化测试框架
02-25
本文来自于简书,本文主要介绍了基础框架选择,搭建思路,测试数据,测试框架,执行测试等。下周即将展开一个http...最方便的方法就是用python直接写代码,代码和测试数据分离,测试数据放在excel中保存。这种实现最快
基于python实现的http+json协议接口自动化测试框架
03-15
【标题】基于Python实现的HTTP+JSON协议接口自动化测试框架 在软件开发过程中,接口测试是确保系统间数据传输正确性和系统集成稳定性的重要环节。HTTP(超文本传输协议)是互联网上应用最为广泛的一种网络协议,而...
mitmproxy一个支持交互式TLS拦截的HTTP代理-python
06-18
An interactive TLS-capable intercepting HTTP proxy for penetration testers and software developers. mitmproxy 该存储库包含 mitmproxy 和 pathod 项目。 mitmproxy 是一个交互式的、支持 SSL 的拦截代理,带有控制台界面。 mitmdump 是 mitmproxy 的命令行版本。 想想 HTTP 的 tcpdump。 mitmweb 是 mitmproxy 的基于 Web 的界面。 pathoc 和 pathod 是反常的 HTTP 客户端和服务器应用程序,旨在让您制作几乎所有可以想象的 HTTP 请求,包括那些创造性地违反标准的请求。 文档和帮助 一般信息、教程和预编译的二进制文件可以在 mitmproxy 和 pathod 网站上找到。 mitmproxy 的文档可以在我们的网站上找到:加入我们关于 Discourse 的讨论论坛提出问题,互相帮助解决问题,并为项目提出新的想法。 如果您想为 mitmproxy 本身做出贡献,请加入
mitmproxy+python
qq_34577961的博客
03-30 4237
安装1: win安装包:mitmproxy - an interactive HTTPS proxy C:\Program Files (x86)\mitmproxy\bin下cmd执行:mitmdump --version,有下图证明完成安装 安装2:pip install mitmproxy==5.2.0 证书安装 在cmd下启动一次mitmdump后,会有这个目录下C:\Users\85025\.mitmproxy生成证书 名称 作用 mitmproxy-ca.pem
python游戏框架_关于python游戏协议自动化框架的一些思路
weixin_39895684的博客
11-29 207
前言游戏协议测试,如果只是单协议测试,只需要用socket/websocket进行协议收发即可。如果要以框架的形式实现,主要需要解决协议返回不确定这个问题,这里可以提供一个思路,当然,这只是我个人的见解,仅供参考,思路如下:游戏协议测试,其目的主要是为了防止出现后端逻辑处理不当被玩家通过修改发送协议手段进行刷货币、刷道具等操作的问题。所以我们的协议测试,主要是集中在货币变更、奖励获取等处,其...
python接口自动化11-流量回放神器:mitmproxy(上)
有话好好说vx:GoGsxl
06-04 1124
简介: mitmproxy是一组工具,可为HTTP/1,HTTP/2和WebSockets提供交互式的,具有SSL/TLS功能的拦截代理。 官方文档:https://docs.mitmproxy.org/stable/ 中文文档:https://ptorch.com/docs/10/mitmproxy_introduction 3个强大的核心工具 mitmproxy项目的工具是一组暴露通用底层功...
别错过!八个值得推荐的APP自动化测试工具
m0_73898769的博客
09-01 1748
使用 Apifox ,你可以在统一的平台上设计、调试、测试以及协作你的 API,消除了在不同工具之间切换和数据不一致的问题。STF 提供了对定制和原始 Android 和 iOS 设备的支持,它是一个可扩展的 web 界面,通过它可以管理设备,同时还可以上传 APK 文件进行测试。Appium 能够使用与用户交互相同的方式来自动化测试移动应用程序,通过识别界面元素,并执行一系列交互动作来测试移动应用程序的功能和性能,包括滑动、缩放、点击等操作。和 WebDriver 的自动化测试
App爬虫神器mitmproxymitmdump的使用
weixin_34220834的博客
06-27 255
mitmproxy是一个支持HTTP和HTTPS的抓包程序,有类似Fiddler、Charles的功能,只不过它是一个控制台的形式操作。 mitmproxy还有两个关联组件。一个是mitmdump,它是mitmproxy的命令行接口,利用它我们可以对接Python脚本,用Python实现监听后的处理。另一个是mitmweb,它是一个Web程序,通过它我们...
模拟器技术在自动化测试和脚本编写中的应用:如何通过模拟器实现高效的自动化测试和脚本编写?
禅与计算机程序设计艺术
06-30 6265
作者:禅与计算机程序设计艺术 《60. 模拟器技术在自动化测试和脚本编写中的应用:如何通过模拟器实现高效的自动化测试和脚本编写?》 引言
抓包工具Mitmproxy使用
小冯先生的博客
11-30 1431
由于Chrales收费、fiddler安装mac又比较麻烦,就找到了简单便捷的MitmproxyMitmproxy简介 mitmproxy是一组工具,可为HTTP/1,HTTP/2和WebSockets提供交互式,支持SSL/TLS的拦截代理。官网地址 3个强大的核心工具 mitmproxy项目的工具是一组暴露通用底层功能的前端。当我们谈论“ mitmproxy”时,我们通常指这三种工具中的任何一种-它们只是同一核心代理的不同前端。 mitmproxy是具有SSL / TLS功能的交互式拦截侦听代理,
web自动化测试selenium+python
08-29
Web自动化测试是指通过编写自动化脚本来模拟用户在Web应用程序上的操作,以验证应用程序的功能和性能。Selenium是一种流行的Web自动化测试工具,而Python是一种常用的编程语言。结合使用Selenium和Python,可以实现高效的Web自动化测试。 要使用Selenium进行Python的Web自动化测试,首先需要搭建相应的环境。可以按照以下步骤进行搭建: 1. 安装Python:访问Python官方网站,下载并安装Python的最新版本。 2. 安装Selenium:使用Python的包管理工具pip,在命令行中执行以下命令安装Selenium包: ``` pip install selenium ``` 3. 下载浏览器驱动:根据你所使用的浏览器类型,下载相应的浏览器驱动。例如,如果你使用Chrome浏览器,可以下载Chrome浏览器驱动。 4. 配置浏览器驱动:将下载的浏览器驱动添加到系统的环境变量中,这样Selenium才能找到并使用它。 完成环境搭建后,就可以编写自动化测试脚本了。以下是一个简单的示例脚本: ```python from selenium import webdriver # 创建WebDriver对象,启动浏览器 driver = webdriver.Chrome() # 打开网页 driver.get('https://www.baidu.com') # 查找搜索框并输入内容 input_box = driver.find_element_by_css_selector('#kw') input_box.send_keys('selenium') # 查找“百度一下”按钮并点击 submit_button = driver.find_element_by_css_selector('#su') submit_button.click() # 检查搜索结果中是否包含关键字 assert 'selenium' in driver.title # 关闭浏览器 driver.quit() ``` 以上脚本使用Selenium的API来模拟用户在百度搜索引擎上的操作,并检查搜索结果中是否包含关键字"selenium"。可以根据实际需求编写更复杂的自动化测试脚本。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Web自动化测试环境搭建之Python+Selenium](https://download.csdn.net/download/weixin_38690402/15443144)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [Web自动化测试 —— 测试环境搭建 (Selenium+Python)及视频操作](https://blog.csdn.net/Faith_Lzt/article/details/119187797)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [如何使用 Python+selenium 进行 web 自动化测试?](https://blog.csdn.net/caixiangting/article/details/130581863)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值