为什么要进行请求(Request)的篡改呢?
咱们设计一个场景,直接上 比如 :我们做一个注册的测试,测前端效验,用户名必须是手机号,188 8888 8888,我们经过各种测试,发现真的只能输入各种手机号测可以注册,满足各种需求,那么就真的能证明我们的效验是完成功,或者我们打入数据库的数据完全正确吗?如果通过这种方法向服务器打入大量的脏数据,会怎么样。
重点是,我们针对用户名的效验都在前端,那么只要绕过前端效验,直接通过协议探测工具抓取注册接口,通过结果注册用户名为aaa,那么这个用户是不是就被成功的打入了数据库呢?那么我们的数据库是否安全,服务器的容错机制是否还需要验证呢,这就是我们为什么要篡改请求的原因,绕过前端效验,打入异常数据直接传输至服务器,验证后端服务器的容错机制。
为什么要进行响应(response)的篡改呢?
先上场景 例如,一个项目,天气项目,背景,现在再东北,夏天,天天烈阳高照,几个月不下一次雨,你们项目组作了天气的功能,暴雨情况下前端是怎么显示的,这时候你会想,开发那个靓仔,给我改一下呗,除非你够美,够白,腿够长,不然他肯定不理你,怎么办呢,该服务器吗,答案也是否定的,只能自己去造了,自己篡改响应结果,又两种方法,一种是mock服务,一种是通过抓包工具抓包,篡改请求,但是其意义为了 在特殊的业务下,需要特殊的响应结果来效验前端的页面显示以及容错机制,所以我们要最响应进行篡改。
那么现在进行一下charles请求篡改
1.准备工作
打开charles
打开被测网站
2.录制
刷新网站页面进行录制
输入包包
改成连衣裙,放行
直接变成了连衣裙,篡改了请求
演示一下篡改响应
先删除原来的断点
Proxy–Breakpoint Setting
录制
对这个价格下手
打断点
清除一下
刷新网站页面 被段
放行
修改响应–放行
ok