渗透测试HTTP客户端代码

Question

我正在编写HTTP客户端代码，用于对服务器进行REST调用并处理响应。

客户端通过SSL与服务器对话，但SSL会话在Web Firewall.The Web应用程序防火墙上终止，就像中间人代理一样。

我希望使客户端足够健壮，以处理此代理的任何错误行为。是否有任何提供此类测试的工具？例如，代理可以将客户机重定向到其他地方，或者修改服务器发送的响应。我可以找到很多测试套件来测试web服务器代码，但不是客户端代码。我查看了https://mitmproxy.org/和malicious中的一些选项，这些选项允许您安装恶意web服务器，为恶意软件提供服务。还有其他选择吗？

Answer 1

无论是代理错误、服务器错误还是TCP错误，客户端都应该检查错误响应，而不管是错误源。

您应该模拟web服务器(其方式取决于您最喜欢的语言和环境)，并检查以下情况：

• 404,403,500和其他非200错误代码.您也可以检查“永久移动”之类的状态代码。
• 垃圾响应(甚至不是有效的HTTP，即随机字节流)
• 包含垃圾的有效HTTP (如果您等待json，然后发送.png作为响应体)
• 中断响应(发送有效响应但发送95%的响应后断开客户端)
• 超时(接受请求，让客户在回答之前等待40秒)
• 巨型炸弹(发送500毫巴作为回应)
• 具有逻辑错误的响应(即，如果在JSON中等待正整数"age“字段，尝试为其发送"-9000”或"abc123“或随机500个字节)

如果所有这些案件都得到了正确的处理，我相信您的客户已经准备好面对任何代理错误。