Burp+Postman+JMeter无接口文档

---

一、测试目标

• URL ：http://admin.qyguo.cn
• 账号：admin
• 密码：admin_123&@
• 目标：完成该网站接口测试、压力测试

二、工具分析

1、BurpSuite

• 版本：BurpSuite2021.6
• 功能：Proxy可以拦截HTTP/S的代理服务器，作为一个在浏览器和目标应用程序之间的中间人，允许你拦截，查看，修改在两个方向上的原始数据流。
• 原理：打开BurpSuite自带的brower浏览器，利用Proxy拦截网站的POST请求的接口及数据。

2、Postman

• 版本：Postman8.5.1
• 功能：强大的HTTP调试与模拟插件。使用于API/接口功能测试工具，号称接口测试神器
• 原理：验证BurpSuite取得的接口，利用Postman美化数据，修改数据，发送请求数据，然后刷新网页，刷新成功则说明接口可用，数据修改正确。

3、JMeter

• 版本：JMeter5.4.1
• 功能：模拟各种请求，完全多线程框架允许通过多个线程并发取样和通过单独的线程组对不同的功能同时取样
• 原理：获取、修改、设置变量值在jmeter中,可以设置各种各样的变量,无论是从外部文件引用的数据,还是自定义、随机的参数值等,作为变量灵活调用

三、操作流程

第一步：在配置元件中新建–用户定义的变量>>http信息头管理器

• 名称：自定义就可；
• 值：填被测系统的IP地址就可；

第二步：新建setup线程组（登录前的线程组）>>http信息头管理器>>http请求>>察看结果树

1、用burp>>代理>>打开浏览器>>输入正确账号密码>>进入到拦截开启/关闭

• 例，如要测登录页面，则需要输入账号及密码登录；

• 将登录后的路径放置在http请求路径中；
• 括号中的账号及密码则放置在消息体数据中；

• “{}”中的名称或IP是需要和用户定义的变量名称保持一致；
• 如要测登录页面，则使用burp先捕捉其路径，同样的还需要加上消息体数据；

2、用postman>>输入GET为json的路径（URL+burp中的json路径）>>Body>>raw（需添加burp生成的账号及密码）>>将Text选为JSON>>Headers找到后缀为json的VALUE（值）及前面的KEY（键），将值和键放到jmeter>>http信息头管理器中的名称及值中；

• 输入GET为json的路径（URL+burp中的json路径）；
• Body>>raw（需添加burp生成的账号及密码）；
• 将Text选为JSON；

• Headers找到后缀为json的VALUE（值）及前面的KEY（键）；

• 将值和键放到jmeter>>http信息头管理器中的名称及值中；
  

3、察看结果树>>看“response Body”最后返回的结果是不是““success”:true}”成功；看“Response headers”的高亮部分是cookie值

• 注意看“response Body”最后返回的结果是不是““success”:true}”成功

• 注意看“Response headers”的高亮部分是cookie值

第三步：http请求>>后置处理器>>正则表达式提取器>>

1、 使用正则表达式提取器

• 引用名称：自定义就可；
• 正则表达式：从登录的结果树中看高亮的那一行；
• 匹配数字：固定值填“1”就可；

2、使用BeanShell后置处理程序

• ${__setProperty(Get_cookies,${get_cookies},)} 设置为全局变量
• 通过使用全局变量函数助手可以自动生成（加全局变量助手的步骤）

• 如图

3、创建信息头管理器

• Cookie JSESSIONID=${__P(Get_cookies,)} （全局变量）

• 首页不需要填参数及消息体数据
• IP：使用函数，“{}”里面的名称要和用户公共的变量保持一致

• 注意看请求类型；
• 消息体数据可从burp里面获取；
• IP和用户公用的变量名保持一致；

• 如图

• 分割线~~~

【测试】头脑风暴-01-无接口文档测试推想相关推荐

1. 接口测试实战项目02：根据接口文档测试

   大家好,我是测试奇谭的作者风风. 上两次,我们已经了解: 测试奇谭:什么是接口测试?这篇文章让你明白 测试奇谭:接口测试实战项目01:接口测试环境搭建 这次,我们正式进入测试阶段. 为什么要做接口测试 ...

2. swagger接口文档，API详细配置，绝对简单！！！

   1.第一步:引入依赖,在项目的pom文件中引入swagger的依赖,如下. <dependency><groupId>io.springfox</groupId>& ...

3. Java支付宝支付API文档测试

   首先登录支付宝开放平台,找到开发者中心的沙箱 创建沙箱环境,通过支付宝文档,获取支付宝公钥. 获取沙箱账号,卖家和买家,下载一个沙箱支付宝,可以进行测试 现在准备工作做好了,下面是代码测试,创建一个测 ...

4. 没有接口文档的时候如何进行接口测试

   在进行接口测试之前,一般开发会提供接口文档,给出一些接口参数和必要熟悉,便于我们编写接口脚本.但如果没有提供接口开发文档的请求下,我们该如何编写接口测试脚本呢?在编写测试脚本前要做哪些必要的准备呢? ...

5. SpringBoot 配置 generator代码生成+knife4j接口文档（2种模板设置、逻辑删除、字段填充 含代码粘贴可用）保姆级教程（注意事项+建表SQL+代码生成类封装+测试类）

   保姆级教程,逻辑删除及字段自动填充设置,特别要说明的是本次用的是MySQL数据库,如果使用Oracle数据库是,数据库配置需要改变,数据库表一定要大写,否则无法生成代码. 数据库表 CREATE TA ...

6. spring-boot 一款无侵入型，轻量级的接口文档生成工具apiggs

   spring-boot 一款无侵入型,轻量级的接口文档生成工具apiggs 名字叫:apiggs 使用只需两步,先把插件代码引入pom文件,然后编译打包即可 之后项目的target目录下,就会多出一个 ...

7. 接口文档下的渗透测试（Swagger）

   接口文档背景 随着前后端分离架构的优势越来越明显,前后端分离的应用场景也越来越广,如今前后端分离已成为互联网项目开发的业界标准使用方式,而为了前后端程序员在实际开发中能够有统一的接口文档去调试,因此也 ...

8. 当没有接口文档时候，测试人员如何测试？

   大家好啊,我是大田. 有读者问大田,当没有接口文档时候,测试人员如何测试?对于测试新手来说,有文档都不一定会接口测试,没有文档你让我咋办呀?这个问题就是抓包 + 分析,分析时遵循「 3 知道 」: 1 ...

9. Swagger 自动生成 Dubbo 服务的接口文档，以及测试调用

   点击上方"芋道源码",选择"设为星标" 管她前浪,还是后浪? 能浪的浪,才是好浪! 每天 8:55 更新文章,每天掉亿点点头发... 源码精品专栏 原创 | J ...

最新文章

1. 量产车发布前夕，乐视在美汽车工厂被传欠薪停工
2. idea下的调试配置
3. 详解Linux的压缩解压缩命令
4. JVM之强引用、软引用、弱引用、虚引用
5. Design Patterns - Mediator Pattern
6. LeetCode LCS 02. 完成一半题目（计数+排序）
7. 【14浙江省赛 B ZOJ 3777】Problem Arrangement 【状压dp】 【CCPC-Wannafly Winter Camp Day2 K Sticks】
8. 冯乐乐之三,SHADERLAB入门
9. 零基础能掌握seo知识吗
10. 原生高性能抓包工具Proxyman，送给爱学习的你
11. matlab 立体双目,correl sp matlab 实现双目视觉的三维重建 利用两张图片 信息 276万源代码下载- www.pudn.com...
12. 安装Chrome Restlet Client插件
13. AHOI2019N省联考凉凉记
14. Lake Shore低温探针台的晶圆安装方法
15. 1-pandas创建对象
16. DY果园~~~~~~青龙脚本
17. 2021年3月程序员平均15189元！
18. 机器学习深度学习视频资料汇总
19. RS232 RS485 通信结构
20. 重返德军总部全攻略(2)

热门文章

1. 你想要的Python面试题都在这里了！
2. POJ 3233 Matrix Power Serie （矩阵快速幂）
3. 时间序列(time serie)分析系列之时间序列特征(feature)7
4. 单调队列java_浅谈单调队列优化dp
5. 如何让Latex生成的PDF隐藏页码显示/如何设置某一页的页码？
6. 同时进公司，准时上下班，从不加班加点的他，在我这个加班狂魔前升职了......
7. Android绘制竖直虚线完美解决方案—自定义View
8. 服务器电源改可调电源型号,IBM服务器电源，艾默生7001578-j000 改造DIY成可调电源详细教程...
9. 【小沐学Unity3d】Unity插件之天气系统UniStorm
10. RxJava之map方法使用