软件测试和网络安全测试人员常用的工具和介绍

在互联网企业里运维和测试也是非常重要的岗位,当程序员根据客户的需求写出软件产品就有测试人员对开发出来的软件进行可用性和安全性等方面的测试从而达到客户的要求。这里我们牛人就和大家介绍在日常工作中有哪些好用的必备的测试和调试软件。


postman

在日常的WEB开发中或WEB软件的调试测试中经常用到的就是postman调试软件了,它是基于B/S模式进行POST和GET等方式提交的适用工具。可以用来一步步跟踪网页在TCP层请求的动作。是测试人员和程序开发人员工作中必备的工具。当然除了可以调试POST和GET等数据外,还可以对CSS,HTML等脚本的调试。目前这款工具能支持Windows ,MAC, linux等系统。从这方面看就知道这款软件的价值是非常不错的,不然也不会开发这么系统版本。
Headers:这个地方是HTTP请求的头部信息,是浏览器中用户一般看不到的信息,他是HTTP的特有格式。
Authorization:网页上用来进行身份验证,主要用来填写用户名密码,以及一些验签字段,postman有一个helpers可以帮助我们简化一些重复和复杂的任务。当前的一套helpers可以帮助你解决一些authentication protocols的问题。
Pre-requerst Script: 这个选项主要是在你请求之前自定义请求数据格式,这个运行在请求之前,语法使用JavaScript语句才能有效的进行数据格式的请求。
Body:post请求时必须要带的参数,里面放一些key-value键值对,一般例如name-zhangsan这种格式。
tests:这个tests功能比较强大,一般情况下测试人员都会在这里写测试,它是运行在请求之后。支持JavaScript语法。postman每次执行request的时候,会执行tests。测试结果会在tests的tab上面显示一个通过的数量以及对错情况。这个后面会进行详解,它也可以用来设计用例,比如要测试返回结果是否含有某一字符串
form-data:,这个功能主要是将POST的表单数据处理为一条消息,以标签为单元,用分隔符分开。既可以单独上传键值对,也可以直接上传文件(当上传字段是文件时,会有Content-Type来说明文件类型,但该文件不会作为历史保存,只能在每次需要发送请求的时候,重新添加文件。);post请求里较常用的一种



Fiddler

同样是一款HTTP的调试工具Fiddler和上面postman不一样的时Fiddler是负责网络层的抓包,但它与WireShark这样的纯抓包分析不同,Fiddler更偏向基于HTTP协议的Web流量,可以对网络传输中发送和接受的数据包进行拦截,编辑,重发等操作。所以对HTTP协议的解码支持做得更好,在交互上也更易用。另外,Fiddler还有一项重要的功能就是可以搭建代理,常用于分析加密的HTTPS流量。




WireShark

非常常见的TCP/IP网络抓包工具WireShark应该很多人都听过,即便在非安全行业,作为一个普通的后端开发工程师和测试工程师,掌握网络数据抓包也是一项基础技能。WireShark就是一款强大的抓包工具,支持你能想到的几乎所有通信协议的字段解码。通过它,网络中流淌的数据将无所遁形,全都能清晰的把数据格式解析出来,方便我们测试人员调试。




netcat

在网络界号称瑞士军刀的netcat功能强大,是网络测试和渗透测试的最常用的工具之一,他有windows版本和Linux 版本。不管那个版本其程序本身都非常短小精悍,虽然说他体积小但非常灵活功能还是很全面的。但是需要注意的时,有时候杀毒软件会报毒。在操作系统netcat命令可以简写nc,一般在shell中使用。其中常见功能有 端口扫描,网络通信,文件传输,加密传输,硬盘克隆,远程控制。
总之,瑞士军刀,绝不会让你失望,可以让你的日常测试或安全渗透测试工作根据有效率。




nmap

这款Nmap在1997年9月推出,支持Linux、Windows、unix、Mac等系统,从系统的支持度上来讲,这款软件还是非常受测试人员喜爱的。软件采用GPL许可证,最初用于扫描开放的网络连接端,确定哪服务运行在那些连接端口,它是我们测试人员用来评估网络系统安全的常用工具和手段。在进行网络渗透测试之前很重要的一环就是要进行信息搜集,了解渗透目标开启了什么服务,软件是什么版本,拿到了这些信息才能制定接下来选择什么样的漏洞进行攻击。nmap就是这样一款知名的网络扫描工具,在Linux下以命令行形式调用,另外还有一个可视化界面的zenmap,通过发起网络数据包探测,分析得出目标的信息。




WinDbg

从名称开头的Win就知道这是一款有微软开发的一款调试工具,WinDbg采用win系统典型的标准界面,但其功能却十分强大。而且这款软件自带了一套强大的调试命令,习惯了GUI调试工具的朋友初期可能不习惯,但时间久了之后绝对爱不释手。WinDbg最特色的是如果在Windows系统中结合VMWare虚拟机可以进行低层的内核驱动程序调试,能更好更深层次的对软件的运行机制进行梳理和测试。




IDA

如果需要深度分析一款软件的话那么IDA是绝对不能少的工具,强大的反汇编引擎和源代码级的函数构建插件,是程序逆向分析必不可少的强大工具。他支持Windows、Linux、OSX等多操作系统以及x86、x64、ARM甚至Java字节码等多种指令集的分析。能让测试人员更好的对软件内部进行白盒测试。




APIMonitor

除了查看软件内部之外很多测试人员还是希望能看到程序内部进程函数的调用情况那么这款APIMonitor就是用来监控目标进程的函数调用情况的工具,你可以监控任意你想要监控的进程,查看他们调用了哪些关键系统函数,以及对应的参数和返回值,有了它,目标程序的一切活动尽在掌握。对软件的进程通讯和调用能很好的掌握。




ProcExp

有时候我们使用Windows自带的任务管理器功能觉得太弱,对我们的测试工作没有太大的帮助,这个就是一款全新增强版的任务管理器,全称ProcessExplorer。和上面的ProcMon师出同门,是兄弟软件,常常配套使用。它可以帮助你看到系统所有活动进程以及这些进程包含的所有线程、加载的动态库模块,打开的文件,网络连接等等信息。





总结

总体来说上面的软件从网络软件到系统软件,从功能测试软件到渗透测试软件都有详细讲解。在理解了网络数据包的传输原理,和了解了系统进程调度等技术后使用起来还是非常容易上手的。



本文由作者自行上传发布,文章仅代表作者个人观点。如需转载,务必声明出处和网址,否则保留相关权利。

网友评论 comments

发表评论

电子邮件地址不会被公开。必填项已用 *标注

暂无评论

牛人技术博客 | AboutUS | 湘ICP备13000282号-8 |
Copyright © 2009 - 2019 NRJS Corporation, All Rights Reserved
添加图标到手机桌面
扫二维码
扫二维码
返回顶部