一. 为什么进行请求断点?
一般情况下,进行请求断点是为了绕过前端校验机制,去测试后端逻辑而使用的测试方式之一。
比如,一个输入框因为前端做了校验,只允许输入8位的正整数,那么通过对请求打断点,可以输入其他类型和长度的参数,如【123!@#asd】这样的参数,从而达到测试后端对该参数的处理逻辑,查看是否有漏洞。
二. 如何使用Charles进行请求断点?
1.启动你的charles,如果没有的去找教程安装好再进行下一步哦
2.获取你要测试的接口
如:
2.复制好接口后打开断点功能
3. 添加接口
4.添加接口信息
5.清空charles,重新执行一次接口请求,如:如果是搜索框,就再点一次搜索框
6.再点开charles就能看到已经抓到了
7.修改key值,不同的接口有不同的传参格式,此处只展示get请求的传参
8.请求后重新找到这个接口
9.展示一下页面的修改
三. 为什么要进行响应断点?
一般情况中,进行响应断点是因为后端给出的数据是固定的,所以在前端展示的也是固定的,比如网页title只能是“xxx网”,但你想要在这个位置看不同的展示,比如“达拉崩吧帮的@#¥%……&*(”,那就可以使用响应断点,将接口返回的title值修改成你想要的,以此观察title是否会因为字符串过长或出现特殊字符等等而出现问题。
四.如何使用Charles进行响应断点?
1.重复上面【如何使用Charles进行请求断点】前三步,然后看这里的下一步
2.点确定
3.清除面板,且再执行一次接口
4.执行之后显示如下
5. 修改title的参数
6.查看结果