Jmeter 测试带有防XSRF的网站

最新推荐文章于 2023-12-04 23:46:16 发布
最新推荐文章于 2023-12-04 23:46:16 发布
阅读量493 收藏
点赞数 1
分类专栏: Jmeter 小白笔记 文章标签: jmeter 软件测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37540977/article/details/108452149
版权
本文介绍了在使用JMeter测试带有XSRF防护的网站时遇到的问题及解决方案。通过fiddler抓包获取cookie,将数据导入JMeter的Cookie Manager,并尝试执行业务操作。然而,由于忽视了Header中的X-XSRF-TOKEN,导致测试失败。在发现问题后,将X-XSRF-TOKEN添加到JMeter的信息头管理器中,最终成功完成测试。
摘要由CSDN通过智能技术生成

XSRF也称是CSRF(跨站域请求伪造),是一种网络的攻击方式。

在对某个网站测试时,使用fiddler进行抓包,查看登录获取的cookie数据。

将cookie信息写入到jmeter的cookie管理器中去。

再编写登录后要进行的业务操作。

然后执行jmeter脚本。

查看结果树,发现登录成功了,但是进行业务操作失败了。

查看响应信息,响应说是XSRF-TOKEN无效。

难道是正则表达式写错了?,但是在添加Debug PostProcessor查看变量之后,XSRF-TOKEN是有信息并且正确的。

再次回到fiddler进行查看,突然在header里面发现了惊喜,header中除了cookies中有XSRF-TOKEN,在Miscellaneous中还有个X-XSRF-TOKEN,且值和cookies的XSRF-TOKEN值一样。

抱着试试的心态,我在业务temple下的信息头管理器中添加X-XSRF-TOKEN。

最低0.47元/天 解锁文章
苦逼的小马
关注
专栏目录
这样使用JMeter压测,将你的网站带入深渊!JMeter压测让你的服务器瞬间炸裂
m0_60054525的博客
03-30 542
学完这整套教程,拿下大厂30k到50k不是问题。2:全栈性能测试,监控以及调优。5:devops持续集成部署。9:全栈系列课企业项目实战。3:全栈测试开发平台实战。4:全栈安全测试渗透测试。6:全栈接口测试工具进阶。7:跨平台自动化测试工具。8:大厂简历,真题,录音。
渗透测试:通过Jmeter实现CSRF跨站请求伪造攻击
songqinxiaoming的博客
06-28 875
首先介绍CSRF的攻击原理,我们才能更好进行攻击。 CSRF攻击原理 CSRF(Cross-site requestforgery跨站请求伪造,原理攻击者通过伪装成受信任用户向目标服务发送请求实现攻击。 攻击过程 生成cookie:用户A通过输入账号/密码登录网站web1,此时浏览器将登录状态记录到本地cookie中; 获取cookie:攻击中构建一条恶意网站web2的链接,受害者打开恶意链接后,将把本地保存的cookie信息送到恶意网站web2; 伪造攻击:网站web2通过收到的用户A的cookie值,向
渗透测试:通过Jmeter实现CSRF(Cross-site request forgery)跨站请求伪造攻击
qq19970496的博客
09-19 2869
首页介绍CSRF的攻击原理,我们才能更好进行攻击。 CSRF攻击原理 CSRF(Cross-site requestforgery跨站请求伪造,原理攻击者通过伪装成受信任用户向目标服务发送请求实现攻击。 攻击过程如下: **生成cookie:**用户A通过输入账号/密码登录网站web1,此时浏览器将登录状态记录到本地cookie中; **获取cookie:**攻击中构建一条恶意网站web2的链接,...
nginx御ab,webbench,jmeter攻击
程序驱动人生
08-02 2305
类似于ab,webbench,jmeter等这种压力测试工具,也是一种攻击方式,通过制造大量的并发请求,耗尽服务器资源。 对于一般中小型网站,很可能一句 webbench -c 30000 -t 500 http://hostname/就能让服务器挂掉. 该如何御? 原理是通过http_user_agent 来判断。 apache ab的http_user_agent 为
JMeter测试教程文档PDF
03-27
JMeter测试教程文档PDF】概述 Apache JMeter是一款强大的开源测试工具,广泛应用于软件测试领域,特别是自动化测试。它支持多种协议,如HTTP、FTP、SMTP等,使得测试人员可以对Web应用进行性能和负载测试JMeter...
jmeter性能测试报告.docx
07-08
Jmeter性能测试报告概述】 性能测试是评估软件系统在不同负载条件下运行能力的重要手段,旨在确定系统的性能指标,如响应时间、并发用户数、系统稳定性等。JMeter是一款广泛使用的开源性能测试工具,适用于模拟...
JMeter性能测试脚本
07-07
JMeter是一款强大的开源性能测试工具,广泛应用于Web应用、FTP服务器、数据库和其他协议的服务性能测试JMeter由Apache Software Foundation开发,支持多线程并行测试,能够模拟大量并发用户来评估系统的性能和稳定...
JMeter测试Kafka插件kafkameter-0.2.0.jar
10-17
JMeter测试Kafka插件kafkameter-0.2.0.jar:性能测试新利器》 在现代大数据处理领域,Apache Kafka作为一个高效、可扩展的消息中间件,广泛应用于实时数据流处理和分布式系统间的数据传递。为了确保Kafka在生产...
使用JMeter进行网站性能测试
最新发布
weixin_64724697的博客
12-04 1195
这篇文章只是让大家熟悉初步的性能测试流程,在后续的学习中,也会逐步为大家呈现更成熟更完美的流程。
jmeter使用
perfect88888的博客
04-22 692
windows漏洞多,安全性差, linux下明显内核健全一点 都是字符界面比图形界面响应快,不易死机啊。数据量处理是有优势的。 经常用每秒查询率来衡量域名系统服务器的机器的性能,其即为QPS。 QPS = 并发量 / 平均响应时间 并发量 = QPS * 平均响应时间 流量大的时候用压测,单击QPS负载情况如何 常见的压测工具有jmeter、loadrunner不过以前用loadru...
PHP投票系统如何刷票
Sky___Ice的专栏
01-21 2116
源地址:http://www.php100.com/html/webkaifa/PHP/PHPyingyong/2013/0117/11944.html 生活中,不少人都会遇到需要投票。但往往投票的地方也是薄弱的,可能对投票来源没有验证的话,将会导致刷票,严重的话还会导致网站沦陷。 下面这篇文章就是讲如何刷票,虽然不是100%能止,但是也能从根源上杜绝了一大批菜鸟对系统的破坏。我就
利用Jmeter对简易投票系统进行刷票的实践
wosishui21的专栏
03-02 1607
背景介绍一朋友朋友圈分享出一个链接,请求大家帮忙对其表弟参加的一个作文比赛进行投票,按照惯例,要先注册再投票,且同一个ID每日只能投票一次。探索发现一开始就想到能不能刷票,后来发现该网站对注册账号几乎除了重复性校验外没有其他任何校验,于是就可以轻松开始刷票了。 使用工具:Jmeter 步骤思路: 1. 注册 2. 登录 3. 投票涉及知识点: 1. Jmeter变量定义及函数使用 2.
Jmeter学习和一个关于jmeter获取X-XSRF-TOKEN时的坑
weixin_56039103的博客
08-07 1869
所以整理之后的脚本进行合理的调整后应该长这样:其中的每个部件:(1)全局HTTP Cookie管理器(2)全局HTTP请求头(3)登录前置事务管理器、边界表达式提取器登录前置事务管理器边界表达式提取器(4)登录事务管理器、登录请求头、json提取器登录事务管理器登录请求头json提取器(5)业务事务管理器、业务请求头业务事务管理器业务请求头(6)结果树。
jmeter带csrf token登录
discovery的博客
10-24 2842
jmeter带csrf token登录 1)创建测试计划 右键测试计划--->添加--->Threads(Users)--->线程组 2)获取csrf token  1添加http请求,配置http get登录页  2 正则表达式提取csrf token   配置正则表达式,提取csrf token 3)配置csrf token参数登录
Jmeter实践6_动态数据关联
weixin_42393747的博客
05-27 274
在HTTP请求的参数中经常会遇到一些参数的值是从服务器相应的动态数据,这些数据需要进行关联才能使得每一次请求都能成功得被服务器接受,在JMeter中使用后置处理器来获取这些动态的数据。 JSON Extractor 1.根据JsonPath规则进行参数的提取,从上一个接口的察看结果树Json Path Test进行测试提取表达式编写是否正确 JsonPath 语法可参考博文https://www.cnblogs.com/youring2/p/10942728.html 2. 线程组中的H...
Jmeter 对于登录带有csrf跨域的登录方法总结
qq_34258189的博客
07-05 3995
1,首先通过浏览器检查,查看接口登录需要的数据_csrf-portal:xxxxxLogin[org_code]:XXXXX Login[username]:XXXXX-----用户名Login[password]:XXXXX-----密码Login[remember]:0------不记住用户Login[remember]:1------记住用户2,了解一下csrf跨域的登录方法这个图是...
jiraAPI调用403问题,返回XSRF check failed
qq_40122602的博客
03-25 4370
团队使用jira跟着任务进度,日常需扫描jira任务创建的规范,打算基于nodejs的jira-client做个页面,每天获取统计结果 jira-client用法: npm install jira-client import JiraApi from 'jira-client'; var jira = new JiraApi({ protocol: 'http', host: xxx, username: 'xxx', p.
使用Jmeter网站进行性能测试
热门推荐
huyao的博客
08-21 1万+
1. 使用BadBoy录制脚本 在地址栏中输入对应网址 在左边添加步骤,这一点比较重要,最好不要将操作混在一起。每个操作有他对应的响应时间。 点击【File -> export to JMeter】,到处录制的脚本。 2. 配置JMeter 1. JMeter打开脚本 左键点击Thread Group, 2. 添加监听器 一般添加:察看结果数量,聚合报告,图形结果...
JMeter测试计划详解:Web性能测试实战
"JMeter主要组件介绍,包括测试计划的详细说明,如何利用JMeter进行Web测试,脚本录制,参数化设置,动态数据关联,以及使用命令行运行JMeter脚本和分析结果的方法。" JMeter是一个强大的开源性能测试工具,主要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值