SlideShare a Scribd company logo
Киев 2016
Первый в Украине фестиваль тестирования
Трафик мобильных
приложений: анализ и
модификация
Олег Никифоров
whoami
Трафик мобильных приложений: анализ и модификация @ddr3ams
Структура доклада
1. Особенности мобайл трафика
2. “REST”
3. Структура запроса / ответа
4. Что такое снифферы
5. Зачем снифферы
6. Почему Burp, чем отличается от других
7. Практика
Трафик мобильных приложений: анализ и модификация @ddr3ams
Особенности трафика мобильных приложений
- Нужны тулзы для просмотра
- Очень много разных запросов (сервер, статистика, реклама, etc.) - нужно
фильтровать
- Отсылка запросов в фоне
Трафик мобильных приложений: анализ и модификация @ddr3ams
Client => SOAP/REST => Server
Application layer via HTTP/HTTPS
Трафик мобильных приложений: анализ и модификация @ddr3ams
Трафик мобильных приложений: анализ и модификация @ddr3ams
RESTful vs. “RESTful”
Трафик мобильных приложений: анализ и модификация @ddr3ams
Структура запроса: метод GET
Трафик мобильных приложений: анализ и модификация @ddr3ams
Трафик мобильных приложений: анализ и модификация @ddr3ams
Структура запроса: метод POST
Трафик мобильных приложений: анализ и модификация @ddr3ams
Трафик мобильных приложений: анализ и модификация @ddr3ams
Структура ответа
Трафик мобильных приложений: анализ и модификация @ddr3ams
Трафик мобильных приложений: анализ и модификация @ddr3ams
Статус коды
Трафик мобильных приложений: анализ и модификация @ddr3ams
Что такое снифферы
Сниффер - сетевой анализатор трафика,
который пропускает через себя пакеты
и выводит связку запрос-ответ
в читабельном виде
В качестве снифферов используются разные
приложения: Fiddler, Charles Proxy, Burp Suite, TcpCatcher, etc.
Трафик мобильных приложений: анализ и модификация @ddr3ams
ЗОЧЕМ???
Трафик мобильных приложений: анализ и модификация @ddr3ams
Зачем: мониторинг без вмешательства в данные
Валидация запросов:
- Url
- Заголовки
- Параметры (название/значение)
Валидация ответов:
- Заголовки
- Тело (формат, структура, параметры)
Симуляция time-out
Трафик мобильных приложений: анализ и модификация @ddr3ams
Зачем: манипуляция данными
Трафик мобильных приложений: анализ и модификация @ddr3ams
Подмена контента в запросе:
● Url,
● Значения параметров,
● Значения заголовков
Подмена контента в ответе:
● Значения параметров,
● Значения заголовков,
● Ссылки на медиа файлы (фото, аудио, видео))
Позитивные сценарии
• Изменить user status на лету: free/paid, approved/not approved
• Loadmore с произвольным количеством элементов:
o быстро проверить нагрузку (загрузить много айтемов);
o проверить отображение конца списка;
o проверить вызов loadmore на граничных значениях
Трафик мобильных приложений: анализ и модификация @ddr3ams
Негативные сценарии
• Изменения значений параметров для обхода локальной валидации
• Вызов серверных ошибок для проверки их обработки на клиенте:
o пустые required fields;
o ошибочные данные;
o неверный токен авторизации
• Вызов ошибок в аппе путем подмены ответа от сервера:
o пустые параметры в ответе;
o невалидные значения (string вместо int и т.д.);
o невалидная структура ответа
Трафик мобильных приложений: анализ и модификация @ddr3ams
Почему Burp?
Плюсы и минусы:
+ Бесплатный
+ Scope
+ Удобный UI
+ Многофункциональный
- Не позволяет менять параметры соединения
- Бесплатная версия не позволяет сохранить/загрузить сессию (но
позволяет делать экспорт)
Трафик мобильных приложений: анализ и модификация @ddr3ams
Party time!
Untappd - соц сеть для любителей пива:
- Можно добавлять пиво
- Заводить друзей
- Писать отзывы
Чем полезно:
- Авторизация
- Таблицы
- Картинки
- Понятное API
Трафик мобильных приложений: анализ и модификация @ddr3ams
Плюсы использования
• Возможность эмулировать тайм-ауты
соединения
• Возможность эмулировать серверные
ошибки
• Возможность манипулировать данными
как в запросе, так и в ответе
Трафик мобильных приложений: анализ и модификация @ddr3ams
Минусы использования
• Если не выключить прокси когда
выключен сниффер – запросы не
будут работать (фон)
• Увеличивается время на
операцию запрос – ответ
Трафик мобильных приложений: анализ и модификация @ddr3ams
О чем я умолчал
Как настроить Burp Suite и установить сертификат
Как обойти защиту от MiTM
Трафик мобильных приложений: анализ и модификация @ddr3ams
Q&A
Skype: navisnobilite
Twitter: ddr3ams
https://stanfy.com/blog/monitor-mobile-app-traffic-with-sniffers/
Трафик мобильных приложений: анализ и модификация @ddr3ams

More Related Content

Similar to QA Fes 2016. Олег Никифоров. Трафик мобильных приложений: анализ и модификация

Олег Никифоров "Тестирование трафика мобильных приложений: кейсы и инструменты"
Олег Никифоров "Тестирование трафика мобильных приложений: кейсы и инструменты"Олег Никифоров "Тестирование трафика мобильных приложений: кейсы и инструменты"
Олег Никифоров "Тестирование трафика мобильных приложений: кейсы и инструменты"
IT Event
 
CodeFest 2012. Кузьмин В. — Как выстроить разработку сервиса под несколько мо...
CodeFest 2012. Кузьмин В. — Как выстроить разработку сервиса под несколько мо...CodeFest 2012. Кузьмин В. — Как выстроить разработку сервиса под несколько мо...
CodeFest 2012. Кузьмин В. — Как выстроить разработку сервиса под несколько мо...
CodeFest
 
Cергей Aверин, Badoo
Cергей Aверин, BadooCергей Aверин, Badoo
Cергей Aверин, Badoo
Ontico
 
Архитектура А/Б тестирования: сделай сам
Архитектура А/Б тестирования: сделай самАрхитектура А/Б тестирования: сделай сам
Архитектура А/Б тестирования: сделай сам
Sergey Xek
 
Mind map для «Архитектура А/Б тестирования: сделай сам»
Mind map для «Архитектура А/Б тестирования: сделай сам»Mind map для «Архитектура А/Б тестирования: сделай сам»
Mind map для «Архитектура А/Б тестирования: сделай сам»
Sergey Xek
 
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
OWASP Russia
 
Go mobile iab
Go mobile iabGo mobile iab
Go mobile iab
iabrussiaprez
 
Клиентские приложения под нагрузкой (HighLoad 2014)
Клиентские приложения под нагрузкой (HighLoad 2014)Клиентские приложения под нагрузкой (HighLoad 2014)
Клиентские приложения под нагрузкой (HighLoad 2014)
Andrey Smirnov
 
Клиентские приложения под нагрузкой, Андрей Смирнов
Клиентские приложения под нагрузкой, Андрей СмирновКлиентские приложения под нагрузкой, Андрей Смирнов
Клиентские приложения под нагрузкой, Андрей Смирнов
Ontico
 
Как настроить аналитику для мобильных приложений
Как настроить аналитику для мобильных приложенийКак настроить аналитику для мобильных приложений
Как настроить аналитику для мобильных приложений
Нетология
 
Azure web apps - designing and debugging
Azure web apps  - designing and debuggingAzure web apps  - designing and debugging
Azure web apps - designing and debugging
Alexey Bokov
 
Yota Splunk История успеха
Yota Splunk История успехаYota Splunk История успеха
Yota Splunk История успеха
Alexander Kulakov
 
Mobile testing
Mobile testingMobile testing
Mobile testing
YuriiG
 
Conversion conf 2015-price.ru-petrovsky-similarweb.com-19.02-v1
Conversion conf 2015-price.ru-petrovsky-similarweb.com-19.02-v1Conversion conf 2015-price.ru-petrovsky-similarweb.com-19.02-v1
Conversion conf 2015-price.ru-petrovsky-similarweb.com-19.02-v1
Alexey Petrovsky
 
TRAFFIC SIMULATOR
TRAFFIC SIMULATORTRAFFIC SIMULATOR
TRAFFIC SIMULATOR
soft-point
 
Azure Mobile Backend
Azure Mobile BackendAzure Mobile Backend
Azure Mobile Backend
Vitaly Baum
 
Программируем back-end: функции, события, особенности мобильного приложения
Программируем back-end: функции, события, особенности мобильного приложенияПрограммируем back-end: функции, события, особенности мобильного приложения
Программируем back-end: функции, события, особенности мобильного приложения
1С-Битрикс
 
Работа с требованиями в Интернет стартапе
Работа с требованиями в Интернет стартапеРабота с требованиями в Интернет стартапе
Работа с требованиями в Интернет стартапе
Alexander Baikin
 
Работа с требованиями в Интернет-стартапе / Александр Байкин (UML2.ru)
Работа с требованиями в Интернет-стартапе / Александр Байкин (UML2.ru)Работа с требованиями в Интернет-стартапе / Александр Байкин (UML2.ru)
Работа с требованиями в Интернет-стартапе / Александр Байкин (UML2.ru)
Ontico
 
Разработка кроссплатформенного фреймворка на С++ для мобильных платформ / Вла...
Разработка кроссплатформенного фреймворка на С++ для мобильных платформ / Вла...Разработка кроссплатформенного фреймворка на С++ для мобильных платформ / Вла...
Разработка кроссплатформенного фреймворка на С++ для мобильных платформ / Вла...
Ontico
 

Similar to QA Fes 2016. Олег Никифоров. Трафик мобильных приложений: анализ и модификация (20)

Олег Никифоров "Тестирование трафика мобильных приложений: кейсы и инструменты"
Олег Никифоров "Тестирование трафика мобильных приложений: кейсы и инструменты"Олег Никифоров "Тестирование трафика мобильных приложений: кейсы и инструменты"
Олег Никифоров "Тестирование трафика мобильных приложений: кейсы и инструменты"
 
CodeFest 2012. Кузьмин В. — Как выстроить разработку сервиса под несколько мо...
CodeFest 2012. Кузьмин В. — Как выстроить разработку сервиса под несколько мо...CodeFest 2012. Кузьмин В. — Как выстроить разработку сервиса под несколько мо...
CodeFest 2012. Кузьмин В. — Как выстроить разработку сервиса под несколько мо...
 
Cергей Aверин, Badoo
Cергей Aверин, BadooCергей Aверин, Badoo
Cергей Aверин, Badoo
 
Архитектура А/Б тестирования: сделай сам
Архитектура А/Б тестирования: сделай самАрхитектура А/Б тестирования: сделай сам
Архитектура А/Б тестирования: сделай сам
 
Mind map для «Архитектура А/Б тестирования: сделай сам»
Mind map для «Архитектура А/Б тестирования: сделай сам»Mind map для «Архитектура А/Б тестирования: сделай сам»
Mind map для «Архитектура А/Б тестирования: сделай сам»
 
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
 
Go mobile iab
Go mobile iabGo mobile iab
Go mobile iab
 
Клиентские приложения под нагрузкой (HighLoad 2014)
Клиентские приложения под нагрузкой (HighLoad 2014)Клиентские приложения под нагрузкой (HighLoad 2014)
Клиентские приложения под нагрузкой (HighLoad 2014)
 
Клиентские приложения под нагрузкой, Андрей Смирнов
Клиентские приложения под нагрузкой, Андрей СмирновКлиентские приложения под нагрузкой, Андрей Смирнов
Клиентские приложения под нагрузкой, Андрей Смирнов
 
Как настроить аналитику для мобильных приложений
Как настроить аналитику для мобильных приложенийКак настроить аналитику для мобильных приложений
Как настроить аналитику для мобильных приложений
 
Azure web apps - designing and debugging
Azure web apps  - designing and debuggingAzure web apps  - designing and debugging
Azure web apps - designing and debugging
 
Yota Splunk История успеха
Yota Splunk История успехаYota Splunk История успеха
Yota Splunk История успеха
 
Mobile testing
Mobile testingMobile testing
Mobile testing
 
Conversion conf 2015-price.ru-petrovsky-similarweb.com-19.02-v1
Conversion conf 2015-price.ru-petrovsky-similarweb.com-19.02-v1Conversion conf 2015-price.ru-petrovsky-similarweb.com-19.02-v1
Conversion conf 2015-price.ru-petrovsky-similarweb.com-19.02-v1
 
TRAFFIC SIMULATOR
TRAFFIC SIMULATORTRAFFIC SIMULATOR
TRAFFIC SIMULATOR
 
Azure Mobile Backend
Azure Mobile BackendAzure Mobile Backend
Azure Mobile Backend
 
Программируем back-end: функции, события, особенности мобильного приложения
Программируем back-end: функции, события, особенности мобильного приложенияПрограммируем back-end: функции, события, особенности мобильного приложения
Программируем back-end: функции, события, особенности мобильного приложения
 
Работа с требованиями в Интернет стартапе
Работа с требованиями в Интернет стартапеРабота с требованиями в Интернет стартапе
Работа с требованиями в Интернет стартапе
 
Работа с требованиями в Интернет-стартапе / Александр Байкин (UML2.ru)
Работа с требованиями в Интернет-стартапе / Александр Байкин (UML2.ru)Работа с требованиями в Интернет-стартапе / Александр Байкин (UML2.ru)
Работа с требованиями в Интернет-стартапе / Александр Байкин (UML2.ru)
 
Разработка кроссплатформенного фреймворка на С++ для мобильных платформ / Вла...
Разработка кроссплатформенного фреймворка на С++ для мобильных платформ / Вла...Разработка кроссплатформенного фреймворка на С++ для мобильных платформ / Вла...
Разработка кроссплатформенного фреймворка на С++ для мобильных платформ / Вла...
 

More from QAFest

QA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилин
QA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилинQA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилин
QA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилин
QAFest
 
QA Fest 2019. Анна Чернышова. Self-healing test automation 2.0. The Future
QA Fest 2019. Анна Чернышова. Self-healing test automation 2.0. The FutureQA Fest 2019. Анна Чернышова. Self-healing test automation 2.0. The Future
QA Fest 2019. Анна Чернышова. Self-healing test automation 2.0. The Future
QAFest
 
QA Fest 2019. Doug Sillars. It's just too Slow: Testing Mobile application pe...
QA Fest 2019. Doug Sillars. It's just too Slow: Testing Mobile application pe...QA Fest 2019. Doug Sillars. It's just too Slow: Testing Mobile application pe...
QA Fest 2019. Doug Sillars. It's just too Slow: Testing Mobile application pe...
QAFest
 
QA Fest 2019. Катерина Спринсян. Параллельное покрытие автотестами и другие и...
QA Fest 2019. Катерина Спринсян. Параллельное покрытие автотестами и другие и...QA Fest 2019. Катерина Спринсян. Параллельное покрытие автотестами и другие и...
QA Fest 2019. Катерина Спринсян. Параллельное покрытие автотестами и другие и...
QAFest
 
QA Fest 2019. Никита Галкин. Как зарабатывать больше
QA Fest 2019. Никита Галкин. Как зарабатывать большеQA Fest 2019. Никита Галкин. Как зарабатывать больше
QA Fest 2019. Никита Галкин. Как зарабатывать больше
QAFest
 
QA Fest 2019. Сергей Пирогов. Why everything is spoiled
QA Fest 2019. Сергей Пирогов. Why everything is spoiledQA Fest 2019. Сергей Пирогов. Why everything is spoiled
QA Fest 2019. Сергей Пирогов. Why everything is spoiled
QAFest
 
QA Fest 2019. Сергей Новик. Между мотивацией и выгоранием
QA Fest 2019. Сергей Новик. Между мотивацией и выгораниемQA Fest 2019. Сергей Новик. Между мотивацией и выгоранием
QA Fest 2019. Сергей Новик. Между мотивацией и выгоранием
QAFest
 
QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...
QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...
QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...
QAFest
 
QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...
QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...
QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...
QAFest
 
QA Fest 2019. Иван Крутов. Bulletproof Selenium Cluster
QA Fest 2019. Иван Крутов. Bulletproof Selenium ClusterQA Fest 2019. Иван Крутов. Bulletproof Selenium Cluster
QA Fest 2019. Иван Крутов. Bulletproof Selenium Cluster
QAFest
 
QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...
QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...
QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...
QAFest
 
QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...
QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...
QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...
QAFest
 
QA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automation
QA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automationQA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automation
QA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automation
QAFest
 
QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...
QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...
QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...
QAFest
 
QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...
QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...
QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...
QAFest
 
QA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях IT
QA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях ITQA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях IT
QA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях IT
QAFest
 
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложенииQA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QAFest
 
QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...
QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...
QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...
QAFest
 
QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...
QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...
QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...
QAFest
 
QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22
QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22
QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22
QAFest
 

More from QAFest (20)

QA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилин
QA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилинQA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилин
QA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилин
 
QA Fest 2019. Анна Чернышова. Self-healing test automation 2.0. The Future
QA Fest 2019. Анна Чернышова. Self-healing test automation 2.0. The FutureQA Fest 2019. Анна Чернышова. Self-healing test automation 2.0. The Future
QA Fest 2019. Анна Чернышова. Self-healing test automation 2.0. The Future
 
QA Fest 2019. Doug Sillars. It's just too Slow: Testing Mobile application pe...
QA Fest 2019. Doug Sillars. It's just too Slow: Testing Mobile application pe...QA Fest 2019. Doug Sillars. It's just too Slow: Testing Mobile application pe...
QA Fest 2019. Doug Sillars. It's just too Slow: Testing Mobile application pe...
 
QA Fest 2019. Катерина Спринсян. Параллельное покрытие автотестами и другие и...
QA Fest 2019. Катерина Спринсян. Параллельное покрытие автотестами и другие и...QA Fest 2019. Катерина Спринсян. Параллельное покрытие автотестами и другие и...
QA Fest 2019. Катерина Спринсян. Параллельное покрытие автотестами и другие и...
 
QA Fest 2019. Никита Галкин. Как зарабатывать больше
QA Fest 2019. Никита Галкин. Как зарабатывать большеQA Fest 2019. Никита Галкин. Как зарабатывать больше
QA Fest 2019. Никита Галкин. Как зарабатывать больше
 
QA Fest 2019. Сергей Пирогов. Why everything is spoiled
QA Fest 2019. Сергей Пирогов. Why everything is spoiledQA Fest 2019. Сергей Пирогов. Why everything is spoiled
QA Fest 2019. Сергей Пирогов. Why everything is spoiled
 
QA Fest 2019. Сергей Новик. Между мотивацией и выгоранием
QA Fest 2019. Сергей Новик. Между мотивацией и выгораниемQA Fest 2019. Сергей Новик. Между мотивацией и выгоранием
QA Fest 2019. Сергей Новик. Между мотивацией и выгоранием
 
QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...
QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...
QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...
 
QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...
QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...
QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...
 
QA Fest 2019. Иван Крутов. Bulletproof Selenium Cluster
QA Fest 2019. Иван Крутов. Bulletproof Selenium ClusterQA Fest 2019. Иван Крутов. Bulletproof Selenium Cluster
QA Fest 2019. Иван Крутов. Bulletproof Selenium Cluster
 
QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...
QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...
QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...
 
QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...
QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...
QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...
 
QA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automation
QA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automationQA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automation
QA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automation
 
QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...
QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...
QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...
 
QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...
QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...
QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...
 
QA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях IT
QA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях ITQA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях IT
QA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях IT
 
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложенииQA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
 
QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...
QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...
QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...
 
QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...
QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...
QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...
 
QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22
QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22
QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22
 

QA Fes 2016. Олег Никифоров. Трафик мобильных приложений: анализ и модификация

  • 1. Киев 2016 Первый в Украине фестиваль тестирования Трафик мобильных приложений: анализ и модификация Олег Никифоров
  • 2. whoami Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 3. Структура доклада 1. Особенности мобайл трафика 2. “REST” 3. Структура запроса / ответа 4. Что такое снифферы 5. Зачем снифферы 6. Почему Burp, чем отличается от других 7. Практика Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 4. Особенности трафика мобильных приложений - Нужны тулзы для просмотра - Очень много разных запросов (сервер, статистика, реклама, etc.) - нужно фильтровать - Отсылка запросов в фоне Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 5. Client => SOAP/REST => Server Application layer via HTTP/HTTPS Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 6. Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 7. RESTful vs. “RESTful” Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 8. Структура запроса: метод GET Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 9. Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 10. Структура запроса: метод POST Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 11. Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 12. Структура ответа Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 13. Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 14. Статус коды Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 15. Что такое снифферы Сниффер - сетевой анализатор трафика, который пропускает через себя пакеты и выводит связку запрос-ответ в читабельном виде В качестве снифферов используются разные приложения: Fiddler, Charles Proxy, Burp Suite, TcpCatcher, etc. Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 16. ЗОЧЕМ??? Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 17. Зачем: мониторинг без вмешательства в данные Валидация запросов: - Url - Заголовки - Параметры (название/значение) Валидация ответов: - Заголовки - Тело (формат, структура, параметры) Симуляция time-out Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 18. Зачем: манипуляция данными Трафик мобильных приложений: анализ и модификация @ddr3ams Подмена контента в запросе: ● Url, ● Значения параметров, ● Значения заголовков Подмена контента в ответе: ● Значения параметров, ● Значения заголовков, ● Ссылки на медиа файлы (фото, аудио, видео))
  • 19. Позитивные сценарии • Изменить user status на лету: free/paid, approved/not approved • Loadmore с произвольным количеством элементов: o быстро проверить нагрузку (загрузить много айтемов); o проверить отображение конца списка; o проверить вызов loadmore на граничных значениях Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 20. Негативные сценарии • Изменения значений параметров для обхода локальной валидации • Вызов серверных ошибок для проверки их обработки на клиенте: o пустые required fields; o ошибочные данные; o неверный токен авторизации • Вызов ошибок в аппе путем подмены ответа от сервера: o пустые параметры в ответе; o невалидные значения (string вместо int и т.д.); o невалидная структура ответа Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 21. Почему Burp? Плюсы и минусы: + Бесплатный + Scope + Удобный UI + Многофункциональный - Не позволяет менять параметры соединения - Бесплатная версия не позволяет сохранить/загрузить сессию (но позволяет делать экспорт) Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 22. Party time! Untappd - соц сеть для любителей пива: - Можно добавлять пиво - Заводить друзей - Писать отзывы Чем полезно: - Авторизация - Таблицы - Картинки - Понятное API Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 23. Плюсы использования • Возможность эмулировать тайм-ауты соединения • Возможность эмулировать серверные ошибки • Возможность манипулировать данными как в запросе, так и в ответе Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 24. Минусы использования • Если не выключить прокси когда выключен сниффер – запросы не будут работать (фон) • Увеличивается время на операцию запрос – ответ Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 25. О чем я умолчал Как настроить Burp Suite и установить сертификат Как обойти защиту от MiTM Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 26. Q&A Skype: navisnobilite Twitter: ddr3ams https://stanfy.com/blog/monitor-mobile-app-traffic-with-sniffers/ Трафик мобильных приложений: анализ и модификация @ddr3ams