「软件测试」 抓包token的理解

最新推荐文章于 2024-08-13 15:06:21 发布
最新推荐文章于 2024-08-13 15:06:21 发布
阅读量1.1w 收藏 20
点赞数 2
分类专栏: 软件测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39974866/article/details/90704340
版权

国内大部分的授权协议都是Oauth2.0。这个协议简单的说通过给用户提供一个令牌(token),而不是通过用户密码来授权,这样的一个好处时,可以方便开发者开发软件,而使用者不需要将密码提供给开发者从而避免一些隐私的问题。 

通过token证明你可以有资格对这个测试环境中的页面进行抓包。

其实抓包是一个很简单的概念,只要对http协议有基本的了解就可以,网上有大量的可以抓包的库。其实只要时基本的实现了http协议的客户端都可以抓包。比如说Python的url,bcloud就是在此基础上实现的。我找到的java的库是okhttp,之前似乎还有httpclient,没用过不多说了。就我用过的url和okhttp来说感觉都差不多,毕竟http协议也不会有太大变化了。 
抓包其实不光是用在模拟登陆,很多很多地方都用得到,比如说做服务器的时候需要分析性能或者分析bug之类的,比如写爬虫之类的,是一个比较基本的技能。

抓包有很多中方法,除了用库分析以外,也有一些软件可以抓包,一般来说如果时浏览器抓包的,浏览器自身自带了很多分析工具网上教程也很多,搜搜就有。 
但是浏览器抓包也有一些不好的地方。有些数据的信息时看不了的。比如说gzip格式的数据,json没有分析之类的,需要自己分析。通常来说都是用web浏览器抓包作为分析资料,用库来模拟实现web浏览器过程。

Cookie、Session 和 token

这里尝试解释一下,如果以后发现问题再修改,其实没完全理清楚。

Cookie出现的主要目的是为了解决HTTP无状态的问题,是HTTP拓展协议。就好像之前所说的问题,用来保存用户的状态信息,比如说用户名,密码信息,购物车信息等等。Cookie通过浏览器来在客户端管理,不同浏览器之间互相独立。也有说法cookie分为内存和硬盘两种储存方式,硬盘上的cookie是浏览器共享的。

Cookie主要有名字、值、缓存时间、路径和域: 
名字和域就是键值对没什么好说的。 
Cookie有缓存时间限制,如果超过时限会消失,如果cookie没有设置缓存时间,则时间为本次会话,浏览器窗口关闭后就消失了。 
路径和域构成了Cookie的作用范围,传送给服务器的cooki必须是作用范围大于请求资源的域才传送。 
Cookie有大小限制,最大4k。另外浏览器通常也也限制每个站点cookie的数量和cookie的总量。

cookie产生的方式:正常来说是通过浏览器或者说http交互的,但是实际上也可以通过程序语言自己构建cookie。

Session:

可以说Cookie是客户端对用户信息的储存,而Session则是实现保存用户状态信息的机制。 
通常来说当用户发像服务器发起一个链接,则服务器会建立一个Session,并且保存这个Session的历史内容,并且向用户发送一个Session ID。通常来说本次Session在用户完成会话之后就关闭了,但是服务器并不会删除这些信息而是将其作为历史记录绑定到用户储存起来。当下一次用户再次连接服务器后,通常来说根据Cookie来再次验证用户,然后结合用户历史记录重新生成一个Session并且重新发送一个SessionID。 
但是还有一点需要说明。通常来说用户并不会通知服务器关闭Session。服务器通常来说会保持Sessioon一段时间,也需是几分钟,几个小时,几天都有可能。如果在此期间,依然用相同的SessionID去访问资源的话,那服务器同样是相应请求的。 
用户可以通过Session ID来实现有状态的会话,但是Session理论上说也可以时无状态的,但是一般不会这样用。

广义上说Session并不是必须再Http协议上,可以再很多层上实现:以OSI为标准:

  • 应用层: 
    • HTTP session:
    • telnet:
  • 会话层: 
    • 基于SIP(Session Initiation protocol)的网络电话

  • 传输层:

    • TCP session

    对于没有实现正式的Session层的传送协议比如说(UDP)或者说存在时间非常短协议(HTTP),需要再更高层上实现Sesssion。典型的就是HTTP Cookie来帮助实现的状态初始化。

Token

有了Cookie和Session的知识,那token就比较好解释了,Token我理解的话就是Session ID的一种。

Cookie和Sesssion其实没有什么可以比较的东西,只能说通过Cookie,再更上一层次的设计上实现了为无状态的HTTP协议的Session机制。

token并不是cookie的一种,可以是cookie验证后的产物,但是token可以以cookie的形式储存,传递的时候也可以用cookie的形式来传送,也可以写入url里传送,也就时所谓的URL重写技术。另外Cookie通常是浏览器维护的,但是token不一定,可以以其他终端的形式维护。

唯一需要说明的是,为何有了Cookie还需要实现Session而不是只用Cookie:

一方面Cookie本身有一定的限制:

  • 首先,cookie并不是万能的。cookie有很多限制,比如说不能跨域访问。跨域访问还有很多其他的问题需要考虑,这里不赘述了。此外token还是一种常用的防止CSRF的手段。
  • 其次,cookie是明文传送的。除非你使用https的协议,http协议是明文传递的。明文传递cookie很容易被盗取,但是token就不会有这么明显的意义。
  • 此外,即使不考虑安全的问题。每次都通过cookie来验证用户状态也是一个麻烦的问题。耗费了大量的资源且不必要。服务器验证之后给用户一个有一定时限的token,这样用户可以通过token免去验证的烦恼。
  • 最后,Cookie本身时可以删除的。

另一方面Session并不只是实现了记录的内容。更多的时候用于标示和跟踪用户的作用。

pandow
关注
专栏目录
F12抓包用于做postman接口测试的全过程解析
Yanan990830的博客
06-29 5017
如果要通过抓包的方式来进行接口测试,需要具有一定的网络协议基础,这些基础可以让你快速找到请求和接口信息。 其次是在进行接口测试过程中,我们最好与开发进行沟通,因为他们更加清楚每个参数的含义以及类型约束,想要更全面的测试接口,可以将抓包信息整理成文档,并与开发沟通完善文档。 有接口文档再进行用例设计与接口执行才是规范的测试流程哦。...
Fiddler抓包工具
cmjimmy的博客
11-27 477
Fiddler简介 b/s架构 (浏览器到服务器架构) http是 超文本协议. fiddler原理 Fiddler是位于客户端和服务器端的HTTP代理 因为ie 谷歌浏览器 他们默认就是读的系统代理. fiddler只要打开就会设置成代理. 通过ping域名可以得到主机ip地址. http http请求报文 请求方法 URL : 请求头 请求头是可以自定义的. http响应报文 状态码 响应头 ...
看完就会,从抓包到接口测试的全过程解析【1500字保姆级教程】
05-26 2251
目录 一、为什么抓包 二、如何抓包 三、Postman 接口测试实战 四、总结 一、为什么抓包 1、从功能测试角度 通过抓包查看隐藏字段 Web 表单中会有很多隐藏的字段,这些隐藏字段一般都有一些特殊的用途,比如收集用户的数据,预防 CRSF 攻击,防网络爬虫,以及一些其他用途。这些隐藏字段在界面上都看不到,如果想检测这些字段,就必须要使用抓包工具。 2、通过抓包工具了解协议内容 方便开展接口和性能测试 性能测试方面,性能测试其实就是大量模拟用户的请求,所以我们必须要知道请求中的协
软件测试必会:cookie、session和token的区别~
最新发布
08-13 702
今天就来说说session、cookie、token这三者之间的关系!最近这仨玩意搞得头有点大🤣 01、为什么会有它们三个、我们都知道 HTTP 协议是无状态的,所谓的无状态就是客户端每次想要与服务端通信,都必须重新与服务端链接,意味着请求一次客户端和服务端就连接一次,下一次请求与上一次请求是没有关系的。
网络抓包工具 http请求抓取 接口拦截
09-19
软件测试工作中,我们时常需要查看接口请求、或者服务器的返回,携带的参数、请求地址、返回的参数、或者token、cookies是否正确,文档中介绍了几种常用的方式。既有PC端,又有移动端,初步介绍了常用的几种方式,可以作为入门文档使用。
思路——耍赖获取token抓包
weixin_44154094的博客
09-03 4825
正常分析token手段 抓包分析,头信息组成 拆解哪些头信息可以组装 分析不能组装的数据格式 正常分析token逻辑: 反编译app 通过关键字或者其他手段定位到token加密地方 分析如何加密的 耍赖手段: 思维习惯: 不管你token如何变化,如何加密,有多复杂 你总归要调用一种或多种加密算法(md5, base64, rsa, sha)来对源token进行处理 这种算法通常是调用第三方的库或者Java安卓自带的库来做加密 所以 直接hook常用的加密类,在加密的方法里面做打印,–》
安卓token抓包+mybatis+mysql+线程池+定时器+okhttp+gson实现自动健康填报(哈威)
qq_18449299的博客
04-21 1175
废话少说,开源 自动健康填报 - 哈工大威海: 安卓token抓包+mybatis+mysql+线程池+定时器+okhttp+gson实现自动健康填报https://gitee.com/Keeper_Lee/AutoHealth
让我欢喜让我忧的接口测试【token解析】
一格子休的专栏
04-16 1万+
有机会接触接口测试,刚开始有些兴奋、有点激动,认为这是一项非常有挑战性的工作。。。。。。         可当真正面对十几个接口的时候,我傻眼了,一排排的POST, GET, PUT, HEAD.....的请求方式,我在问自己:我改怎么去模拟这些请求?看着窗外的云,我陷入了恐慌... 但既然来了,就得勇敢的面对。之前做过python UI 自动化,对python的语法基本了解一些,接下来就是一
浅析token
shy的博客
08-14 6039
最近听人说爆破DVWA的登陆页面没有chen成功,由于自己就尝试了一番,发现了点有趣的东西。 我的DVWA的登陆名师admin/password,可以看到,就算是正确的登陆名与密码也无法爆破成功,一直都是302 (  301 redirect: 301 代表永久性转移(Permanently Moved)   302 redirect: 302 代表暂时性转移(Temporarily ...
软件测试面试题1.0.pdf
08-05
软件测试是软件开发生命周期中不可或缺的一环,目的在于评估和提高软件的质量。为了深入了解软件测试相关的知识体系,...通过这些知识点的学习,可以帮助准备面试的软件测试人员更好地理解相关概念,提高面试通过率。
软件测试常见面试题合集(接口测试面试详细答案)
Ces222的博客
10-28 811
我们在面试时接口测试流程是必问的。在回答时我们要记得结合自己的项目来回答就可以了。接口测试我们是在xx项目做的,主要有xx接口,xx接口等1.首先是从开发那里拿到API接口文档,了解接口业务、包括接口地址、接口方式、入参、出参、token鉴权,返回格式等信息。2.然后使用postman或jmeter工具执行接口测试,一般使用Jmeter的步骤是这样的:首先建立一个线程组;然后就是新建一个HTTP请求默认值。(输入接口服务器IP和端口);再新建很多HTTP请求,一个请求一个用例。
Burp suite抓包修改参数及测试结果验证
u013055734的博客
03-27 6792
Burp suite抓包修改参数及结果验证 Burp suite抓包修改参数及测试结果验证 最近在执行安全测试项时,遇到了要求使用 Burp Suite 修改参数并验证修改后的结果是否正确的测试场景。对于工具的抓包改包,网上有很多优秀的教程,但是对于改包后如何验证结果很少有文章提及,在此结合简单的测试案例将搜索教程时遇到的未解决疑问补充完整 官网免费版下载链接 官网免费版链接:https://po...
日常小结-关于模拟登陆的小结-抓包、cookie、session和token
热门推荐
千念飞羽的专栏
08-08 1万+
概述上个星期根据bcloud写了个java版本的登陆项目。其实本来时想做个linux的百度云登陆软件,但是做到获取bdstoken的时候出了问题解决不了。后来我把bcloud项目下了下来用发现也有问题,应该是百度登陆的过程有了一些改动。通过 web抓包找到一些线索,但是不知道为什么用相同的cookie和stoken访问得到的却是页面不存在或会话已超时之类的错误提示页面。另外有些参数确实猜不出来是什么
暴力破解密码--token破解
ABABC1234的博客
08-13 2449
如图render所示的即代表确实有token防爆破功能重新开始抓取登录的请求包鼠标右键把请求包发送到intruder攻击模块点击start attack开始攻击
Token
weixin_43303455的博客
07-11 574
TokenCookiecookie如何实现鉴权?SessionToken Cookie cookie不是缓存 cookie是由服务端产生,存储在客户端的一小段文本信息,格式是字典,键值对。 Cookie的分类: ——————会话级:保存在内存,阅览器关闭,就会丢失 ——————持久化:保存到硬盘,只有当失效时间到了,才会被清除。 cookie如何实现鉴权? 致命弱点: cookie保存在客户端,对于一些敏感信息:用户名,密码。不安全。 Session 当用户第一次访问服务器时,在服务器端保存一个Sessi
Token的用途
weixin_46243567的博客
08-27 761
Token 是用户登录成功之后服务端返回的一个身份令牌,在项目中的多个业务中需要使用到:访问需要授权的 API 接口校验页面的访问权限...但是我们只有在第一次用户登录成功之后才能拿到 Token。所以为了能在其它模块中获取到 Token 数据,我们需要把它存储到一个公共的位置,方便随时取用。往哪儿存?本地存储获取麻烦数据不是响应式Vuex 容器(推荐)获取方便响应式的登录成功,将 Token 存储到 Vuex 容器中获取方便响应式为了持久化,还需要把 Token 放到本地存储持久化登录成功之后后端会返回两
浅谈token/token在数据包中的位置
weixin_73180072的博客
09-25 2246
token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。当用户第一次登录后,服务器生成一个token并将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。简单token的组成;uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以压缩成的一定长度的十六进制字符串。为防止token泄露)。
疑似天津联通:记一次被流量羊毛
qq_53058639的博客
02-19 378
不得不说,做开发这么多年,流量劫持这个东西,大都只是:“听说过,没见过,两万五千里~”。这次结结实实被坑了一把,还是头一回。出来混,该经历的逃不过。
黄鸟抓包token教程
09-21
黄鸟抓包(Huang Niao)是一种流行的网络抓包工具,可以用于分析和捕获网络通信中的数据包。使用黄鸟抓包工具可以帮助我们了解应用程序的通信行为,发现潜在的安全问题,并进行调试和优化。 而Token是一种用于身份验证的令牌,常常用于保护网络API和应用程序。它是由服务器生成并向客户端发送的,以证明客户端的身份和权限。 黄鸟抓包工具可以帮助我们捕获并分析网络通信中的Token,并在调试或开发过程中帮助我们检查Token的正确性和安全性。 下面是一个黄鸟抓包Token教程的简要步骤: 1.下载和安装黄鸟抓包工具:黄鸟抓包工具可以从官方网站或其他可靠的来源下载。根据您的操作系统选择适当的版本,然后按照提示进行安装。 2.配置代理:在您的设备上配置代理,以便将网络流量导向到黄鸟抓包工具。具体设置方法可能因操作系统而异,一般可以在黄鸟抓包工具的说明文档或官方网站上找到相关信息。 3.启动黄鸟抓包工具:打开黄鸟抓包工具,并按照界面上的指示进行设置。您可能需要配置一些网络参数,如监听端口。 4.捕获数据包:在启动黄鸟抓包工具后,它将开始捕获网络通信中的数据包。您可以选择具体的应用程序或者某个特定的网络请求进行捕获和分析。 5.检查Token:在黄鸟抓包工具中,您可以查看和分析捕获到的数据包。寻找与Token相关的请求,并检查Token的有效性、安全性以及与服务器端生成的Token是否匹配。 需要注意的是,使用黄鸟抓包工具进行网络抓包Token分析时,需要遵守法律法规和道德准则。请确保您拥有相关网络服务的合法使用权限,并遵守相关服务提供商的使用规定。 以上是关于黄鸟抓包Token教程的简要介绍,希望对您有所帮助。如需更详细的操作方法和教程,请参考黄鸟抓包工具的官方文档或网站。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值