SlideShare una empresa de Scribd logo

QA Fes 2016. Олег Никифоров. Трафик мобильных приложений: анализ и модификация

Q
QAFest

Работа с трафиком в мобильных проектах имеет свою специфику и подводные камни. Используя один из самых функциональных снифферов - Burp Suite, я покажу на реальных примерах, как перехватывать трафик, анализировать содержимое запросов и ответов и модифицировать их под свои нужды. Минимум слайдов, максимум screen sharing'а

Educación
1 de 26
Киев 2016 Первый в Украине фестиваль тестирования Трафик мобильных приложений: анализ и модификация Олег Никифоров
whoami Трафик мобильных приложений: анализ и модификация @ddr3ams
Структура доклада 1. Особенности мобайл трафика 2. “REST” 3. Структура запроса / ответа 4. Что такое снифферы 5. Зачем снифферы 6. Почему Burp, чем отличается от других 7. Практика Трафик мобильных приложений: анализ и модификация @ddr3ams
Особенности трафика мобильных приложений - Нужны тулзы для просмотра - Очень много разных запросов (сервер, статистика, реклама, etc.) - нужно фильтровать - Отсылка запросов в фоне Трафик мобильных приложений: анализ и модификация @ddr3ams
Client => SOAP/REST => Server Application layer via HTTP/HTTPS Трафик мобильных приложений: анализ и модификация @ddr3ams
Трафик мобильных приложений: анализ и модификация @ddr3ams
RESTful vs. “RESTful” Трафик мобильных приложений: анализ и модификация @ddr3ams
Структура запроса: метод GET Трафик мобильных приложений: анализ и модификация @ddr3ams
Трафик мобильных приложений: анализ и модификация @ddr3ams
Структура запроса: метод POST Трафик мобильных приложений: анализ и модификация @ddr3ams
Трафик мобильных приложений: анализ и модификация @ddr3ams
Структура ответа Трафик мобильных приложений: анализ и модификация @ddr3ams
Трафик мобильных приложений: анализ и модификация @ddr3ams
Статус коды Трафик мобильных приложений: анализ и модификация @ddr3ams
Что такое снифферы Сниффер - сетевой анализатор трафика, который пропускает через себя пакеты и выводит связку запрос-ответ в читабельном виде В качестве снифферов используются разные приложения: Fiddler, Charles Proxy, Burp Suite, TcpCatcher, etc. Трафик мобильных приложений: анализ и модификация @ddr3ams
ЗОЧЕМ??? Трафик мобильных приложений: анализ и модификация @ddr3ams
Зачем: мониторинг без вмешательства в данные Валидация запросов: - Url - Заголовки - Параметры (название/значение) Валидация ответов: - Заголовки - Тело (формат, структура, параметры) Симуляция time-out Трафик мобильных приложений: анализ и модификация @ddr3ams
Зачем: манипуляция данными Трафик мобильных приложений: анализ и модификация @ddr3ams Подмена контента в запросе: ● Url, ● Значения параметров, ● Значения заголовков Подмена контента в ответе: ● Значения параметров, ● Значения заголовков, ● Ссылки на медиа файлы (фото, аудио, видео))
Позитивные сценарии • Изменить user status на лету: free/paid, approved/not approved • Loadmore с произвольным количеством элементов: o быстро проверить нагрузку (загрузить много айтемов); o проверить отображение конца списка; o проверить вызов loadmore на граничных значениях Трафик мобильных приложений: анализ и модификация @ddr3ams
Негативные сценарии • Изменения значений параметров для обхода локальной валидации • Вызов серверных ошибок для проверки их обработки на клиенте: o пустые required fields; o ошибочные данные; o неверный токен авторизации • Вызов ошибок в аппе путем подмены ответа от сервера: o пустые параметры в ответе; o невалидные значения (string вместо int и т.д.); o невалидная структура ответа Трафик мобильных приложений: анализ и модификация @ddr3ams
Почему Burp? Плюсы и минусы: + Бесплатный + Scope + Удобный UI + Многофункциональный - Не позволяет менять параметры соединения - Бесплатная версия не позволяет сохранить/загрузить сессию (но позволяет делать экспорт) Трафик мобильных приложений: анализ и модификация @ddr3ams
Party time! Untappd - соц сеть для любителей пива: - Можно добавлять пиво - Заводить друзей - Писать отзывы Чем полезно: - Авторизация - Таблицы - Картинки - Понятное API Трафик мобильных приложений: анализ и модификация @ddr3ams
Плюсы использования • Возможность эмулировать тайм-ауты соединения • Возможность эмулировать серверные ошибки • Возможность манипулировать данными как в запросе, так и в ответе Трафик мобильных приложений: анализ и модификация @ddr3ams
Минусы использования • Если не выключить прокси когда выключен сниффер – запросы не будут работать (фон) • Увеличивается время на операцию запрос – ответ Трафик мобильных приложений: анализ и модификация @ddr3ams
О чем я умолчал Как настроить Burp Suite и установить сертификат Как обойти защиту от MiTM Трафик мобильных приложений: анализ и модификация @ddr3ams
Q&A Skype: navisnobilite Twitter: ddr3ams https://stanfy.com/blog/monitor-mobile-app-traffic-with-sniffers/ Трафик мобильных приложений: анализ и модификация @ddr3ams

Recomendados

Тестирование трафика мобильных приложений: кейсы и инструменты
Тестирование трафика мобильных приложений: кейсы и инструментыТестирование трафика мобильных приложений: кейсы и инструменты
Тестирование трафика мобильных приложений: кейсы и инструментыOleg Nikiforov
 
Тимур Каримбаев (Ютинет.ру)
Тимур Каримбаев (Ютинет.ру)Тимур Каримбаев (Ютинет.ру)
Тимур Каримбаев (Ютинет.ру)Ontico
 
Виктория Козлова "Подписки в iOS и Android приложениях: когда тестировщику не...
Виктория Козлова "Подписки в iOS и Android приложениях: когда тестировщику не...Виктория Козлова "Подписки в iOS и Android приложениях: когда тестировщику не...
Виктория Козлова "Подписки в iOS и Android приложениях: когда тестировщику не...IT Event
 
Upwork Pro for Mobile Developers
Upwork Pro for Mobile DevelopersUpwork Pro for Mobile Developers
Upwork Pro for Mobile DevelopersMax Belsky
 
10 правил agile тестировщика IT-Brunch
10 правил agile тестировщика IT-Brunch10 правил agile тестировщика IT-Brunch
10 правил agile тестировщика IT-BrunchAndrii Dzynia
 
Наталья Медведева - Тестировщик на все руки в Scrum-команде
Наталья Медведева - Тестировщик на все руки в Scrum-командеНаталья Медведева - Тестировщик на все руки в Scrum-команде
Наталья Медведева - Тестировщик на все руки в Scrum-командеSQALab
 
Heuristics, mnemonics and other Greek words in the exploratory testing of mob...
Heuristics, mnemonics and other Greek words in the exploratory testing of mob...Heuristics, mnemonics and other Greek words in the exploratory testing of mob...
Heuristics, mnemonics and other Greek words in the exploratory testing of mob...COMAQA.BY
 
QA Fest 2016. Денис Яременко. Как облегчить процесс мобильного тестирования
QA Fest 2016. Денис Яременко. Как облегчить процесс мобильного тестированияQA Fest 2016. Денис Яременко. Как облегчить процесс мобильного тестирования
QA Fest 2016. Денис Яременко. Как облегчить процесс мобильного тестированияQAFest
 

Recomendados

Тестирование трафика мобильных приложений: кейсы и инструменты
Тестирование трафика мобильных приложений: кейсы и инструментыТестирование трафика мобильных приложений: кейсы и инструменты
Тестирование трафика мобильных приложений: кейсы и инструментыOleg Nikiforov
 
Тимур Каримбаев (Ютинет.ру)
Тимур Каримбаев (Ютинет.ру)Тимур Каримбаев (Ютинет.ру)
Тимур Каримбаев (Ютинет.ру)Ontico
 
Виктория Козлова "Подписки в iOS и Android приложениях: когда тестировщику не...
Виктория Козлова "Подписки в iOS и Android приложениях: когда тестировщику не...Виктория Козлова "Подписки в iOS и Android приложениях: когда тестировщику не...
Виктория Козлова "Подписки в iOS и Android приложениях: когда тестировщику не...IT Event
 
Upwork Pro for Mobile Developers
Upwork Pro for Mobile DevelopersUpwork Pro for Mobile Developers
Upwork Pro for Mobile DevelopersMax Belsky
 
10 правил agile тестировщика IT-Brunch
10 правил agile тестировщика IT-Brunch10 правил agile тестировщика IT-Brunch
10 правил agile тестировщика IT-BrunchAndrii Dzynia
 
Наталья Медведева - Тестировщик на все руки в Scrum-команде
Наталья Медведева - Тестировщик на все руки в Scrum-командеНаталья Медведева - Тестировщик на все руки в Scrum-команде
Наталья Медведева - Тестировщик на все руки в Scrum-командеSQALab
 
Heuristics, mnemonics and other Greek words in the exploratory testing of mob...
Heuristics, mnemonics and other Greek words in the exploratory testing of mob...Heuristics, mnemonics and other Greek words in the exploratory testing of mob...
Heuristics, mnemonics and other Greek words in the exploratory testing of mob...COMAQA.BY
 
QA Fest 2016. Денис Яременко. Как облегчить процесс мобильного тестирования
QA Fest 2016. Денис Яременко. Как облегчить процесс мобильного тестированияQA Fest 2016. Денис Яременко. Как облегчить процесс мобильного тестирования
QA Fest 2016. Денис Яременко. Как облегчить процесс мобильного тестированияQAFest
 
Олег Никифоров "Тестирование трафика мобильных приложений: кейсы и инструменты"
Олег Никифоров "Тестирование трафика мобильных приложений: кейсы и инструменты"Олег Никифоров "Тестирование трафика мобильных приложений: кейсы и инструменты"
Олег Никифоров "Тестирование трафика мобильных приложений: кейсы и инструменты"IT Event
 
CodeFest 2012. Кузьмин В. — Как выстроить разработку сервиса под несколько мо...
CodeFest 2012. Кузьмин В. — Как выстроить разработку сервиса под несколько мо...CodeFest 2012. Кузьмин В. — Как выстроить разработку сервиса под несколько мо...
CodeFest 2012. Кузьмин В. — Как выстроить разработку сервиса под несколько мо...CodeFest
 
Cергей Aверин, Badoo
Cергей Aверин, BadooCергей Aверин, Badoo
Cергей Aверин, BadooOntico
 
Архитектура А/Б тестирования: сделай сам
Архитектура А/Б тестирования: сделай самАрхитектура А/Б тестирования: сделай сам
Архитектура А/Б тестирования: сделай самSergey Xek
 
Mind map для «Архитектура А/Б тестирования: сделай сам»
Mind map для «Архитектура А/Б тестирования: сделай сам»Mind map для «Архитектура А/Б тестирования: сделай сам»
Mind map для «Архитектура А/Б тестирования: сделай сам»Sergey Xek
 
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...OWASP Russia
 
Go mobile iab
Go mobile iabGo mobile iab
Go mobile iabiabrussiaprez
 
Клиентские приложения под нагрузкой, Андрей Смирнов
Клиентские приложения под нагрузкой, Андрей СмирновКлиентские приложения под нагрузкой, Андрей Смирнов
Клиентские приложения под нагрузкой, Андрей СмирновOntico
 
Клиентские приложения под нагрузкой (HighLoad 2014)
Клиентские приложения под нагрузкой (HighLoad 2014)Клиентские приложения под нагрузкой (HighLoad 2014)
Клиентские приложения под нагрузкой (HighLoad 2014)Andrey Smirnov
 
Как настроить аналитику для мобильных приложений
Как настроить аналитику для мобильных приложенийКак настроить аналитику для мобильных приложений
Как настроить аналитику для мобильных приложенийНетология
 
Azure web apps - designing and debugging
Azure web apps - designing and debuggingAzure web apps - designing and debugging
Azure web apps - designing and debuggingAlexey Bokov
 
Yota Splunk История успеха
Yota Splunk История успехаYota Splunk История успеха
Yota Splunk История успехаAlexander Kulakov
 
Mobile testing
Mobile testingMobile testing
Mobile testingYuriiG
 
Conversion conf 2015-price.ru-petrovsky-similarweb.com-19.02-v1
Conversion conf 2015-price.ru-petrovsky-similarweb.com-19.02-v1Conversion conf 2015-price.ru-petrovsky-similarweb.com-19.02-v1
Conversion conf 2015-price.ru-petrovsky-similarweb.com-19.02-v1Alexey Petrovsky
 
TRAFFIC SIMULATOR
TRAFFIC SIMULATORTRAFFIC SIMULATOR
TRAFFIC SIMULATORsoft-point
 
Azure Mobile Backend
Azure Mobile BackendAzure Mobile Backend
Azure Mobile BackendVitaly Baum
 
Программируем back-end: функции, события, особенности мобильного приложения
Программируем back-end: функции, события, особенности мобильного приложенияПрограммируем back-end: функции, события, особенности мобильного приложения
Программируем back-end: функции, события, особенности мобильного приложения1С-Битрикс
 
Работа с требованиями в Интернет стартапе
Работа с требованиями в Интернет стартапеРабота с требованиями в Интернет стартапе
Работа с требованиями в Интернет стартапеAlexander Baikin
 
Работа с требованиями в Интернет-стартапе / Александр Байкин (UML2.ru)
Работа с требованиями в Интернет-стартапе / Александр Байкин (UML2.ru)Работа с требованиями в Интернет-стартапе / Александр Байкин (UML2.ru)
Работа с требованиями в Интернет-стартапе / Александр Байкин (UML2.ru)Ontico
 
Разработка кроссплатформенного фреймворка на С++ для мобильных платформ / Вла...
Разработка кроссплатформенного фреймворка на С++ для мобильных платформ / Вла...Разработка кроссплатформенного фреймворка на С++ для мобильных платформ / Вла...
Разработка кроссплатформенного фреймворка на С++ для мобильных платформ / Вла...Ontico
 
QA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилин
QA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилинQA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилин
QA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилинQAFest
 
QA Fest 2019. Анна Чернышова. Self-healing test automation 2.0. The Future
QA Fest 2019. Анна Чернышова. Self-healing test automation 2.0. The FutureQA Fest 2019. Анна Чернышова. Self-healing test automation 2.0. The Future
QA Fest 2019. Анна Чернышова. Self-healing test automation 2.0. The FutureQAFest
 

Más contenido relacionado

Similar a QA Fes 2016. Олег Никифоров. Трафик мобильных приложений: анализ и модификация

Олег Никифоров "Тестирование трафика мобильных приложений: кейсы и инструменты"
Олег Никифоров "Тестирование трафика мобильных приложений: кейсы и инструменты"Олег Никифоров "Тестирование трафика мобильных приложений: кейсы и инструменты"
Олег Никифоров "Тестирование трафика мобильных приложений: кейсы и инструменты"IT Event
 
CodeFest 2012. Кузьмин В. — Как выстроить разработку сервиса под несколько мо...
CodeFest 2012. Кузьмин В. — Как выстроить разработку сервиса под несколько мо...CodeFest 2012. Кузьмин В. — Как выстроить разработку сервиса под несколько мо...
CodeFest 2012. Кузьмин В. — Как выстроить разработку сервиса под несколько мо...CodeFest
 
Cергей Aверин, Badoo
Cергей Aверин, BadooCергей Aверин, Badoo
Cергей Aверин, BadooOntico
 
Архитектура А/Б тестирования: сделай сам
Архитектура А/Б тестирования: сделай самАрхитектура А/Б тестирования: сделай сам
Архитектура А/Б тестирования: сделай самSergey Xek
 
Mind map для «Архитектура А/Б тестирования: сделай сам»
Mind map для «Архитектура А/Б тестирования: сделай сам»Mind map для «Архитектура А/Б тестирования: сделай сам»
Mind map для «Архитектура А/Б тестирования: сделай сам»Sergey Xek
 
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...OWASP Russia
 
Клиентские приложения под нагрузкой, Андрей Смирнов
Клиентские приложения под нагрузкой, Андрей СмирновКлиентские приложения под нагрузкой, Андрей Смирнов
Клиентские приложения под нагрузкой, Андрей СмирновOntico
 
Клиентские приложения под нагрузкой (HighLoad 2014)
Клиентские приложения под нагрузкой (HighLoad 2014)Клиентские приложения под нагрузкой (HighLoad 2014)
Клиентские приложения под нагрузкой (HighLoad 2014)Andrey Smirnov
 
Как настроить аналитику для мобильных приложений
Как настроить аналитику для мобильных приложенийКак настроить аналитику для мобильных приложений
Как настроить аналитику для мобильных приложенийНетология
 
Azure web apps - designing and debugging
Azure web apps - designing and debuggingAzure web apps - designing and debugging
Azure web apps - designing and debuggingAlexey Bokov
 
Yota Splunk История успеха
Yota Splunk История успехаYota Splunk История успеха
Yota Splunk История успехаAlexander Kulakov
 
Mobile testing
Mobile testingMobile testing
Mobile testingYuriiG
 
Conversion conf 2015-price.ru-petrovsky-similarweb.com-19.02-v1
Conversion conf 2015-price.ru-petrovsky-similarweb.com-19.02-v1Conversion conf 2015-price.ru-petrovsky-similarweb.com-19.02-v1
Conversion conf 2015-price.ru-petrovsky-similarweb.com-19.02-v1Alexey Petrovsky
 
TRAFFIC SIMULATOR
TRAFFIC SIMULATORTRAFFIC SIMULATOR
TRAFFIC SIMULATORsoft-point
 
Azure Mobile Backend
Azure Mobile BackendAzure Mobile Backend
Azure Mobile BackendVitaly Baum
 
Программируем back-end: функции, события, особенности мобильного приложения
Программируем back-end: функции, события, особенности мобильного приложенияПрограммируем back-end: функции, события, особенности мобильного приложения
Программируем back-end: функции, события, особенности мобильного приложения1С-Битрикс
 
Работа с требованиями в Интернет стартапе
Работа с требованиями в Интернет стартапеРабота с требованиями в Интернет стартапе
Работа с требованиями в Интернет стартапеAlexander Baikin
 
Работа с требованиями в Интернет-стартапе / Александр Байкин (UML2.ru)
Работа с требованиями в Интернет-стартапе / Александр Байкин (UML2.ru)Работа с требованиями в Интернет-стартапе / Александр Байкин (UML2.ru)
Работа с требованиями в Интернет-стартапе / Александр Байкин (UML2.ru)Ontico
 
Разработка кроссплатформенного фреймворка на С++ для мобильных платформ / Вла...
Разработка кроссплатформенного фреймворка на С++ для мобильных платформ / Вла...Разработка кроссплатформенного фреймворка на С++ для мобильных платформ / Вла...
Разработка кроссплатформенного фреймворка на С++ для мобильных платформ / Вла...Ontico
 

Similar a QA Fes 2016. Олег Никифоров. Трафик мобильных приложений: анализ и модификация (20)

Олег Никифоров "Тестирование трафика мобильных приложений: кейсы и инструменты"
Олег Никифоров "Тестирование трафика мобильных приложений: кейсы и инструменты"Олег Никифоров "Тестирование трафика мобильных приложений: кейсы и инструменты"
Олег Никифоров "Тестирование трафика мобильных приложений: кейсы и инструменты"
 
CodeFest 2012. Кузьмин В. — Как выстроить разработку сервиса под несколько мо...
CodeFest 2012. Кузьмин В. — Как выстроить разработку сервиса под несколько мо...CodeFest 2012. Кузьмин В. — Как выстроить разработку сервиса под несколько мо...
CodeFest 2012. Кузьмин В. — Как выстроить разработку сервиса под несколько мо...
 
Cергей Aверин, Badoo
Cергей Aверин, BadooCергей Aверин, Badoo
Cергей Aверин, Badoo
 
Архитектура А/Б тестирования: сделай сам
Архитектура А/Б тестирования: сделай самАрхитектура А/Б тестирования: сделай сам
Архитектура А/Б тестирования: сделай сам
 
Mind map для «Архитектура А/Б тестирования: сделай сам»
Mind map для «Архитектура А/Б тестирования: сделай сам»Mind map для «Архитектура А/Б тестирования: сделай сам»
Mind map для «Архитектура А/Б тестирования: сделай сам»
 
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
 
Go mobile iab
Go mobile iabGo mobile iab
Go mobile iab
 
Клиентские приложения под нагрузкой, Андрей Смирнов
Клиентские приложения под нагрузкой, Андрей СмирновКлиентские приложения под нагрузкой, Андрей Смирнов
Клиентские приложения под нагрузкой, Андрей Смирнов
 
Клиентские приложения под нагрузкой (HighLoad 2014)
Клиентские приложения под нагрузкой (HighLoad 2014)Клиентские приложения под нагрузкой (HighLoad 2014)
Клиентские приложения под нагрузкой (HighLoad 2014)
 
Как настроить аналитику для мобильных приложений
Как настроить аналитику для мобильных приложенийКак настроить аналитику для мобильных приложений
Как настроить аналитику для мобильных приложений
 
Azure web apps - designing and debugging
Azure web apps - designing and debuggingAzure web apps - designing and debugging
Azure web apps - designing and debugging
 
Yota Splunk История успеха
Yota Splunk История успехаYota Splunk История успеха
Yota Splunk История успеха
 
Mobile testing
Mobile testingMobile testing
Mobile testing
 
Conversion conf 2015-price.ru-petrovsky-similarweb.com-19.02-v1
Conversion conf 2015-price.ru-petrovsky-similarweb.com-19.02-v1Conversion conf 2015-price.ru-petrovsky-similarweb.com-19.02-v1
Conversion conf 2015-price.ru-petrovsky-similarweb.com-19.02-v1
 
TRAFFIC SIMULATOR
TRAFFIC SIMULATORTRAFFIC SIMULATOR
TRAFFIC SIMULATOR
 
Azure Mobile Backend
Azure Mobile BackendAzure Mobile Backend
Azure Mobile Backend
 
Программируем back-end: функции, события, особенности мобильного приложения
Программируем back-end: функции, события, особенности мобильного приложенияПрограммируем back-end: функции, события, особенности мобильного приложения
Программируем back-end: функции, события, особенности мобильного приложения
 
Работа с требованиями в Интернет стартапе
Работа с требованиями в Интернет стартапеРабота с требованиями в Интернет стартапе
Работа с требованиями в Интернет стартапе
 
Работа с требованиями в Интернет-стартапе / Александр Байкин (UML2.ru)
Работа с требованиями в Интернет-стартапе / Александр Байкин (UML2.ru)Работа с требованиями в Интернет-стартапе / Александр Байкин (UML2.ru)
Работа с требованиями в Интернет-стартапе / Александр Байкин (UML2.ru)
 
Разработка кроссплатформенного фреймворка на С++ для мобильных платформ / Вла...
Разработка кроссплатформенного фреймворка на С++ для мобильных платформ / Вла...Разработка кроссплатформенного фреймворка на С++ для мобильных платформ / Вла...
Разработка кроссплатформенного фреймворка на С++ для мобильных платформ / Вла...
 

Más de QAFest

QA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилин
QA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилинQA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилин
QA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилинQAFest
 
QA Fest 2019. Анна Чернышова. Self-healing test automation 2.0. The Future
QA Fest 2019. Анна Чернышова. Self-healing test automation 2.0. The FutureQA Fest 2019. Анна Чернышова. Self-healing test automation 2.0. The Future
QA Fest 2019. Анна Чернышова. Self-healing test automation 2.0. The FutureQAFest
 
QA Fest 2019. Doug Sillars. It's just too Slow: Testing Mobile application pe...
QA Fest 2019. Doug Sillars. It's just too Slow: Testing Mobile application pe...QA Fest 2019. Doug Sillars. It's just too Slow: Testing Mobile application pe...
QA Fest 2019. Doug Sillars. It's just too Slow: Testing Mobile application pe...QAFest
 
QA Fest 2019. Катерина Спринсян. Параллельное покрытие автотестами и другие и...
QA Fest 2019. Катерина Спринсян. Параллельное покрытие автотестами и другие и...QA Fest 2019. Катерина Спринсян. Параллельное покрытие автотестами и другие и...
QA Fest 2019. Катерина Спринсян. Параллельное покрытие автотестами и другие и...QAFest
 
QA Fest 2019. Никита Галкин. Как зарабатывать больше
QA Fest 2019. Никита Галкин. Как зарабатывать большеQA Fest 2019. Никита Галкин. Как зарабатывать больше
QA Fest 2019. Никита Галкин. Как зарабатывать большеQAFest
 
QA Fest 2019. Сергей Пирогов. Why everything is spoiled
QA Fest 2019. Сергей Пирогов. Why everything is spoiledQA Fest 2019. Сергей Пирогов. Why everything is spoiled
QA Fest 2019. Сергей Пирогов. Why everything is spoiledQAFest
 
QA Fest 2019. Сергей Новик. Между мотивацией и выгоранием
QA Fest 2019. Сергей Новик. Между мотивацией и выгораниемQA Fest 2019. Сергей Новик. Между мотивацией и выгоранием
QA Fest 2019. Сергей Новик. Между мотивацией и выгораниемQAFest
 
QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...
QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...
QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...QAFest
 
QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...
QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...
QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...QAFest
 
QA Fest 2019. Иван Крутов. Bulletproof Selenium Cluster
QA Fest 2019. Иван Крутов. Bulletproof Selenium ClusterQA Fest 2019. Иван Крутов. Bulletproof Selenium Cluster
QA Fest 2019. Иван Крутов. Bulletproof Selenium ClusterQAFest
 
QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...
QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...
QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...QAFest
 
QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...
QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...
QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...QAFest
 
QA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automation
QA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automationQA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automation
QA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automationQAFest
 
QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...
QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...
QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...QAFest
 
QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...
QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...
QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...QAFest
 
QA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях IT
QA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях ITQA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях IT
QA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях ITQAFest
 
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложенииQA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложенииQAFest
 
QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...
QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...
QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...QAFest
 
QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...
QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...
QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...QAFest
 
QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22
QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22
QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22QAFest
 

Más de QAFest (20)

QA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилин
QA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилинQA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилин
QA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилин
 
QA Fest 2019. Анна Чернышова. Self-healing test automation 2.0. The Future
QA Fest 2019. Анна Чернышова. Self-healing test automation 2.0. The FutureQA Fest 2019. Анна Чернышова. Self-healing test automation 2.0. The Future
QA Fest 2019. Анна Чернышова. Self-healing test automation 2.0. The Future
 
QA Fest 2019. Doug Sillars. It's just too Slow: Testing Mobile application pe...
QA Fest 2019. Doug Sillars. It's just too Slow: Testing Mobile application pe...QA Fest 2019. Doug Sillars. It's just too Slow: Testing Mobile application pe...
QA Fest 2019. Doug Sillars. It's just too Slow: Testing Mobile application pe...
 
QA Fest 2019. Катерина Спринсян. Параллельное покрытие автотестами и другие и...
QA Fest 2019. Катерина Спринсян. Параллельное покрытие автотестами и другие и...QA Fest 2019. Катерина Спринсян. Параллельное покрытие автотестами и другие и...
QA Fest 2019. Катерина Спринсян. Параллельное покрытие автотестами и другие и...
 
QA Fest 2019. Никита Галкин. Как зарабатывать больше
QA Fest 2019. Никита Галкин. Как зарабатывать большеQA Fest 2019. Никита Галкин. Как зарабатывать больше
QA Fest 2019. Никита Галкин. Как зарабатывать больше
 
QA Fest 2019. Сергей Пирогов. Why everything is spoiled
QA Fest 2019. Сергей Пирогов. Why everything is spoiledQA Fest 2019. Сергей Пирогов. Why everything is spoiled
QA Fest 2019. Сергей Пирогов. Why everything is spoiled
 
QA Fest 2019. Сергей Новик. Между мотивацией и выгоранием
QA Fest 2019. Сергей Новик. Между мотивацией и выгораниемQA Fest 2019. Сергей Новик. Между мотивацией и выгоранием
QA Fest 2019. Сергей Новик. Между мотивацией и выгоранием
 
QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...
QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...
QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...
 
QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...
QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...
QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...
 
QA Fest 2019. Иван Крутов. Bulletproof Selenium Cluster
QA Fest 2019. Иван Крутов. Bulletproof Selenium ClusterQA Fest 2019. Иван Крутов. Bulletproof Selenium Cluster
QA Fest 2019. Иван Крутов. Bulletproof Selenium Cluster
 
QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...
QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...
QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...
 
QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...
QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...
QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...
 
QA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automation
QA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automationQA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automation
QA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automation
 
QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...
QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...
QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...
 
QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...
QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...
QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...
 
QA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях IT
QA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях ITQA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях IT
QA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях IT
 
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложенииQA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
 
QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...
QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...
QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...
 
QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...
QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...
QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...
 
QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22
QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22
QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22
 

QA Fes 2016. Олег Никифоров. Трафик мобильных приложений: анализ и модификация

  • 1. Киев 2016 Первый в Украине фестиваль тестирования Трафик мобильных приложений: анализ и модификация Олег Никифоров
  • 2. whoami Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 3. Структура доклада 1. Особенности мобайл трафика 2. “REST” 3. Структура запроса / ответа 4. Что такое снифферы 5. Зачем снифферы 6. Почему Burp, чем отличается от других 7. Практика Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 4. Особенности трафика мобильных приложений - Нужны тулзы для просмотра - Очень много разных запросов (сервер, статистика, реклама, etc.) - нужно фильтровать - Отсылка запросов в фоне Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 5. Client => SOAP/REST => Server Application layer via HTTP/HTTPS Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 6. Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 7. RESTful vs. “RESTful” Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 8. Структура запроса: метод GET Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 9. Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 10. Структура запроса: метод POST Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 11. Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 12. Структура ответа Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 13. Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 14. Статус коды Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 15. Что такое снифферы Сниффер - сетевой анализатор трафика, который пропускает через себя пакеты и выводит связку запрос-ответ в читабельном виде В качестве снифферов используются разные приложения: Fiddler, Charles Proxy, Burp Suite, TcpCatcher, etc. Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 16. ЗОЧЕМ??? Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 17. Зачем: мониторинг без вмешательства в данные Валидация запросов: - Url - Заголовки - Параметры (название/значение) Валидация ответов: - Заголовки - Тело (формат, структура, параметры) Симуляция time-out Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 18. Зачем: манипуляция данными Трафик мобильных приложений: анализ и модификация @ddr3ams Подмена контента в запросе: ● Url, ● Значения параметров, ● Значения заголовков Подмена контента в ответе: ● Значения параметров, ● Значения заголовков, ● Ссылки на медиа файлы (фото, аудио, видео))
  • 19. Позитивные сценарии • Изменить user status на лету: free/paid, approved/not approved • Loadmore с произвольным количеством элементов: o быстро проверить нагрузку (загрузить много айтемов); o проверить отображение конца списка; o проверить вызов loadmore на граничных значениях Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 20. Негативные сценарии • Изменения значений параметров для обхода локальной валидации • Вызов серверных ошибок для проверки их обработки на клиенте: o пустые required fields; o ошибочные данные; o неверный токен авторизации • Вызов ошибок в аппе путем подмены ответа от сервера: o пустые параметры в ответе; o невалидные значения (string вместо int и т.д.); o невалидная структура ответа Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 21. Почему Burp? Плюсы и минусы: + Бесплатный + Scope + Удобный UI + Многофункциональный - Не позволяет менять параметры соединения - Бесплатная версия не позволяет сохранить/загрузить сессию (но позволяет делать экспорт) Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 22. Party time! Untappd - соц сеть для любителей пива: - Можно добавлять пиво - Заводить друзей - Писать отзывы Чем полезно: - Авторизация - Таблицы - Картинки - Понятное API Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 23. Плюсы использования • Возможность эмулировать тайм-ауты соединения • Возможность эмулировать серверные ошибки • Возможность манипулировать данными как в запросе, так и в ответе Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 24. Минусы использования • Если не выключить прокси когда выключен сниффер – запросы не будут работать (фон) • Увеличивается время на операцию запрос – ответ Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 25. О чем я умолчал Как настроить Burp Suite и установить сертификат Как обойти защиту от MiTM Трафик мобильных приложений: анализ и модификация @ddr3ams
  • 26. Q&A Skype: navisnobilite Twitter: ddr3ams https://stanfy.com/blog/monitor-mobile-app-traffic-with-sniffers/ Трафик мобильных приложений: анализ и модификация @ddr3ams