Comment apprivoiser Charles Proxy?

salut! Beaucoup de ceux qui viennent à nous pour des entretiens pour un poste de testeur assurent fièrement qu'ils peuvent utiliser Charles Proxy. Mais quand on plonge dans la partie technique, il devient évident que le candidat n'a entendu parler que de cet outil. Apprivoisons enfin ce vase!







Wikipédia nous dit que:

Charles est une application proxy de débogage HTTP multiplateforme écrite en Java. Il permet à l'utilisateur d'afficher le trafic des ports HTTP, HTTPS et TCP activé auquel il accède depuis, vers ou via l'ordinateur local. Cela inclut les demandes et les réponses, y compris les en-têtes HTTP et les métadonnées (telles que les cookies, la mise en cache et les informations de codage), avec des fonctionnalités conçues pour aider les développeurs et les testeurs à analyser les connexions et à échanger des messages.

Une petite explication



Le reniflement est le processus de surveillance et d'interception de tous les paquets passant par le réseau à l'aide d'outils de reniflage (Charles Proxy).

Les premiers pas

1. Installation et lancement



Vous devez d'abord télécharger et installer l'application.



Si vous n'avez pas acheté de licence, une version d'essai de 30 jours avec des restrictions sera disponible (la fonctionnalité n'est pas bloquée, mais les fenêtres apparaîtront avec un délai d'attente de 5 à 10 secondes avant de reprendre l'utilisation, et l'application se terminera au bout de 30 minutes).



2. Nous commençons à renifler le trafic



Démarrez Charles Proxy, allez dans le menu Aide → SSL Proxying → Installer le certificat racine Charles (voir 1) → Installer le certificat → Importer le certificat .







Vous voyez maintenant les demandes, mais elles sont chiffrées et rien n'est visible à l'exception des hiéroglyphes. Pour voir la demande / réponse dans sa forme normale, vous devez activer le proxy SSL et configurer les domaines dont nous voulons intercepter les paquets. Et nous voulons recevoir des demandes de tous les sites. Pour ce faire, accédez à Proxy → Paramètres de proxy SSL .







Dans la boîte de dialogue qui s'ouvre, cochez la case Activer le proxy SSL , sélectionnez la section Inclure et cliquez sur Ajouter .







Ensuite, remplissez le champ Hôte avec * (comme indiqué sur la capture d'écran) et cliquez sur OK .







Dans la boîte de dialogue Paramètres de proxy SSL, cliquez sur OK .







Vous pouvez maintenant regarder les demandes envoyées au serveur et les réponses du serveur.



3. Proxy trafic du navigateur Web



Lorsque vous redémarrez Charles, il vous suffit d'activer Windows Proxy (si vous avez Windows) ou Mac Proxy.







4. Configuration d'un proxy sur Android



Pour afficher les demandes d'application Android, vous devez disposer d'un assembly d'application Android correspondant avec l'autorisation définie dans le manifeste. Supposons que nous ayons une telle application et que nous voulons commencer à en tirer du trafic.



Pour ce faire, nous recherchons l'adresse IP du PC: dans Charles Proxy, allez dans Aide → Adresse IP locale . Nous voyons que votre IP: 192.168.1.50.







Ensuite, décrochez le téléphone, ouvrezPropriétés du réseau → Nom du réseau WiFi → Serveur proxy → Manuel → Nom d'hôte: * votre IP * / Port: * 8888 * → Enregistrez les propriétés de réseau modifiées.



Vous devez maintenant suivre le lien chls.pro/ssl ou charlesproxy.com/getssl , puis le téléchargement automatique du certificat commencera. Ouvrez-le, définissez un nom pour le certificat et vous avez maintenant accès au trafic de l'application Android.



5. Configurer un proxy sur iOS



Prenez l'iPhone en main, ouvrez Propriétés réseau → Nom du réseau WiFi → Serveur proxy → Manuel → Nom d'hôte: * Notre IP * / Port: * 8888 * → Enregistrez les propriétés réseau modifiées.



Maintenant, vous devez suivre le lien chls.pro/ssl ou charlesproxy.com/getssl, "Autoriser" le chargement du profil de configuration. Ensuite, allez dans Paramètres → Profil chargé → Installer . Ensuite, allez dans Paramètres → Général → À propos de cet appareil → Certificats de confiance → recherchez le certificat installé et définissez-le sur «Approuvé».

Fonctionnalité Charles Proxy

1. Substitution de données:
   
   
   • 1.1 Point d'arrêt
   • 1.2 Réécrire
   • 1.3 Carte locale
2. Procuration:
   
   
   • 2.1 Paramètres de l'accélérateur
   • 2.2 Proxy inverses
   • 2.3 Redirection de port
   • 2.4 Proxy MacOS / Proxy Windows
3. Outils:
   
   
   • 3.1 Pas de mise en cache
   • 3.2 Bloquer les cookies
   • 3.3 Carte à distance
   • 3.4 Liste de blocage
   • 3.5 Usurpation DNS
   • 3.6 Miroir
   • 3.7 Composer
4. Paramètres d'enregistrement
5. Concentrer
6. Répéter
7. Répéter Advanced

1. Substitution de données

Imaginons que nous devions tester la mise en page sur le client. Vous devez vérifier comment un grand nombre de bonus utilisateur sera affiché. Une des options que beaucoup vous proposeront: modifier le nombre de bonus dans la base de données et vérifier le client. Oui, vous aurez raison! Cependant, le serveur peut avoir un cache et vous devez attendre un certain temps jusqu'à ce que le nombre de bonus soit mis à jour, ou simplement vous connecter à la base de données elle-même et exécuter la demande - cela prend un certain temps. Il existe une option plus simple: changer la réponse du serveur! Charles Proxy a trois façons d'usurper des données:

1.1 Point d'arrêt

Le point d'arrêt est une sorte de point d'arrêt pour une requête. Lorsqu'une demande de la liste spécifiée est trouvée, une fenêtre distincte s'ouvre pour une interaction manuelle supplémentaire avec les paramètres de la demande. Dans celui-ci, passez à la modification manuelle des demandes et des réponses. Il est pratique d'utiliser cette fonction lors du test de l'API ou de différentes réponses de serveur.



Nous avons une application et un profil d'utilisateur qui a actuellement 0 bonus sur son compte:





La demande dans laquelle ce montant de bonus intervient: https://api.youla.io/api/v1/user/5e6222bbbedcc5975d2375f8







Pour "accrocher" Breakpoint à la demande, allez dans la section Proxy → Breakpoint Settings . Ensuite, cochez la case Activer les points d'arrêt → Ajouter , et dans la boîte de dialogue "Modifier le point d'arrêt" qui s'ouvre, collez l'URL de la requête comme indiqué dans la capture d'écran:







Par exemple, cochez les cases "Demande" et "Réponse". Cliquez ensuite sur OK , puis à nouveau sur OK dans la fenêtre Paramètres des points d'arrêt. Maintenant, exécutez à nouveau la demande, c'est-à-dire que le client rouvrira l'écran avec le profil utilisateur.



Dans Charles Proxy, nous pouvons voir que la requête est suspendue:







Ici, vous pouvez modifier les paramètres de la demande. Mais maintenant, vous n'avez pas besoin de faire cela, cliquez sur "Exécuter". Ensuite, nous suspendons la réponse déjà reçue du serveur. C'est là que nous devons éditer la "Réponse". Trouvez le paramètre requis - bonus_cnt»: 45.







Puis changez la valeur du paramètre bonus_cnt, par exemple, à 1 000 000 de bonus, et cliquez sur «Exécuter».







Le client affiche le nouveau montant des bonus. Nous sommes riches!

1.2 Réécrire

Rewrite est un outil qui vous permet de créer des règles qui modifient les demandes et les réponses à mesure qu'elles passent par le proxy Charles. Par exemple, vous pouvez ajouter et modifier un titre, rechercher et remplacer du texte dans le corps d'une réponse ou d'une demande, etc.



Essayons d'utiliser Rewrite pour modifier le montant des bonus de nos utilisateurs. Pour ce faire, ouvrez Outils → Réécrire → cochez la case « Activer la réécriture » → Ajouter . Dans le champ Nom , vous pouvez entrer n'importe quel nom pour la substitution, par exemple, "Modifier le bonus", ou laisser la valeur par défaut "Ensemble sans titre".







L'étape suivante consiste à ajouter le chemin de la requête à "Location". Pour ce faire, dans la section Emplacement → AjouterRemplissez les champs suivants et enregistrez:



Hôte: https://api.youla.io



Chemin: /api/v1/user/5e6222bbbedcc5975d2375f8







Après avoir ajouté le chemin de la requête, vous devez modifier le paramètre lui-même et sa valeur. Pour ce faire, vous devez créer une règle de réécriture :



Type: Body (car le paramètre est dans le corps);



Où: Réponse (car le paramètre est dans la réponse du serveur);



Section Match: dans "Value" spécifiez la valeur et le paramètre que le serveur retourne;



Remplacer la section: dans "Valeur", spécifiez la valeur et le paramètre que vous souhaitez voir sur le client.







Ensuite, enregistrez la "règle de réécriture" et cliquez sur OK dans l'onglet "Paramètres de réécriture". Sur le client, demandez à nouveau le profil utilisateur. Vous avez automatiquement modifié le nombre de bonus utilisateurs. Nous sommes à nouveau riches!

1.3 Carte locale

Map Local est un outil qui vous permet d'utiliser des fichiers locaux comme s'ils faisaient partie d'un serveur.



Allez dans Outils → Carte locale.







Ensuite, dans la fenêtre Paramètres locaux de la carte, cliquez sur Ajouter → Hôte: https://api.youla.io/api/v1/user/5e6222bbbedcc5975d2375f8→ Chemin local: le chemin d'accès au fichier sur l'ordinateur. Vous pouvez utiliser des fichiers multimédias prêts à l'emploi, HTML, CSS, JSON, XML. Plus adapté, bien sûr, aux développeurs, afin de ne pas télécharger de données sur le serveur pour ses tests ultérieurs, mais un testeur peut également trouver une application compétente. Nous avons préparé la réponse dont nous aurons besoin à l'avance et l'avons sauvegardée dans le fichier change_bonus.json:







Sauvegardez les valeurs saisies dans l'onglet "Modifier la cartographie" et dans l'onglet "Mapper les paramètres locaux".







Sur le client, demandez à nouveau le profil utilisateur. Vous avez automatiquement modifié le nombre de bonus utilisateurs. Nous sommes à nouveau riches!





Jetons un coup d'œil aux autres fonctionnalités de l'outil Charles Proxy. Et commençons par le tout début, avec l'onglet "Proxy".

2.1 Paramètres de l'accélérateur

Throttle Settings est une fonction qui vous permet de définir différents paramètres de vitesse de connexion avec le domaine sélectionné.



Une fonction pour ceux qui aiment tester dans l'ascenseur, dans le métro, dans le passage souterrain. Allons à Proxy → Paramètres de la régulation → la case à cocher Activer la limitation . Si vous ne comprenez pas tous les points ci-dessus, vous pouvez utiliser le préréglage Throttle et sélectionner la vitesse appropriée pour le test, et le système remplira automatiquement les autres champs.







Si vous sélectionnez "Uniquement pour les hôtes sélectionnés", vous pouvez définir un hôte spécifique auquel vos paramètres s'appliqueront. Ici, vous pouvez utiliser des préréglages prêts à l'emploi avec des paramètres pour différents types (4G, 3G, etc.). Et vous pouvez également définir divers paramètres, je vais brièvement énumérer certains d'entre eux:



La bande passante est la quantité maximale de données pouvant être transférées au fil du temps.



L'utilisation est la fraction de la bande passante totale qui peut être fournie à l'utilisateur à un moment donné.



Latence - latence en millisecondes à la première demande entre le client et le serveur distant.



MTU est l'unité de transmission maximale pour le préréglage actuel.



Fiabilité - Une mesure de la probabilité qu'une connexion échoue. Utilisé pour simuler des conditions de réseau non fiables.



La stabilité est une mesure de la probabilité qu'une connexion soit instable et, par conséquent, diminue de qualité. Utile pour simuler des réseaux dans lesquels la qualité de la communication baisse périodiquement, par exemple mobile.

2.2 Proxy inverses

Le proxy inverse est un serveur proxy inverse. Généralement utilisé pour recevoir des demandes d'Internet et les rediriger vers l'un des serveurs Web.

2.3 Redirection de port

La redirection de port , parfois appelée redirection de port, ou tunneling, est le processus de transfert du trafic adressé à un port réseau spécifique d'un nœud de réseau à un autre. Cette méthode permet à un utilisateur extérieur d'accéder à un port au sein du réseau local.

2.4 Proxy MacOS / Proxy Windows

MacOS Proxy ou Windows Proxy (selon votre système d'exploitation) - proxys le trafic de votre navigateur Web.







Après avoir traité la section Proxy, passons à la section Outils.

3.1 Pas de mise en cache

L'outil No Caching empêche la mise en cache en manipulant les en-têtes HTTP qui contrôlent la mise en cache des réponses. Les en-têtes If-Modified-Sinceet If-None-Matchsont supprimés des demandes Pragma: no-cacheet ajoutés Cache-control: no-cache. Les en-têtes Expires, Last-Modifiedet ETagsont supprimés de la réponse et ajoutés Expires: 0, et Cache-Control: no-cache.

3.2 Bloquer les cookies

Bloquer les cookies - L'en-tête de cookie est supprimé des demandes, empêchant l'envoi des valeurs de fichier d'une application cliente (comme un navigateur Web) à un serveur distant. En outre, l'en-tête Set-Cookie est supprimé des réponses, empêchant l'application cliente de recevoir des demandes de configuration de cookies du serveur distant. Dans les paramètres, vous pouvez activer la suppression des cookies à la fois pour tous les hôtes et pour ceux sélectionnés. L'exemple ci-dessous permet la suppression des cookies pour toutes les demandes.

3.3 Carte à distance

Mapper à distance - Vous permet de rediriger les demandes d'une URL de mappage vers une autre mapper vers. Remplace l'hôte, le chemin complet ou uniquement les paramètres, en fonction de votre tâche. Dans l'exemple ci-dessous, la requête du serveur prod au serveur de développement est remplacée.

3.4 Liste de blocage

Liste de blocage - vous permet de bloquer des noms de domaine spécifiques. Lorsqu'un navigateur Web tente de demander une page à partir d'un nom de domaine bloqué, il sera bloqué. Vous pouvez choisir soit «Abandonner la connexion» ou renvoyer l'erreur 403.

3.5 Usurpation DNS

L'hébergement partagé est lorsque vous avez plusieurs sites sur la même adresse IP et que le serveur Web détermine le site que vous demandez en fonction du nom entré dans le navigateur. Plus précisément, le serveur regarde l'en-tête d'hôte envoyé dans la requête. Par exemple, lorsque vous devez remplacer des hôtes de sorte que lorsque vous entrez une adresse dans le navigateur (par exemple, api.youla.ru), les demandes sont dirigées vers une autre adresse (par exemple, vers un site de test).



DNS Spoofing - redirige un nom de domaine vers une adresse IP spécifique.

3.6 Miroir

Miroir - Cette fonction vous permet d'enregistrer automatiquement toutes les réponses renvoyées à Charles Proxy. Ils sont disposés localement dans la même hiérarchie que sur le serveur. Si soudainement il y a un temps d'arrêt sur le backend, l'environnement de test tombe, etc., vous avez déjà des simulations toutes faites pour Map Local. Vous pouvez activer la fonction comme ceci: Outils → Miroir ou Outils → Enregistrement automatique .

3.7 Composer

Compose est une fonction pour modifier les requêtes que vous avez capturées.



Par exemple, vous ajoutez un produit à vos favoris, mais pour une raison quelconque, il n'est pas ajouté. Vous pouvez modifier une demande déjà soumise et la renvoyer. Pour ce faire, sélectionnez la demande requise dans la liste, cliquez dessus avec le bouton droit de la souris et sélectionnez Rédiger . L'icône de demande changera et vous pouvez maintenant la modifier en toute sécurité.







Après avoir modifié les valeurs requises dans la demande, cliquez sur "Exécuter" ci-dessous pour envoyer la demande au serveur.

4. Paramètres d'enregistrement

Paramètres d'enregistrement - paramètres d'affichage des listes de domaines autorisés et bloqués.



Dans l'onglet "Options", vous pouvez configurer la limite, c'est-à-dire le nombre de requêtes que Charles Proxy peut enregistrer.







Dans l'onglet "Inclure", vous pouvez sélectionner un domaine spécifique pour afficher les packages.







Dans l'onglet "Exclure", nous pouvons sélectionner les domaines qui doivent être masqués lors du reniflement.

5. Focus

Focus - cette fonction déplace le domaine vers les premières positions de la liste. 

6. Répéter

Répéter - envoie une demande au serveur qui est identique à celui sélectionné.

7. Répéter Advanced

Répéter Avancé - identique à Répéter, vous seul pouvez sélectionner le nombre de demandes envoyées et le délai entre elles. Cette fonctionnalité est utile lors de la vérification de la réponse du serveur à l'inondation.



Ici, la concurrence est le nombre d'utilisateurs et les itérations est le nombre de fois que chaque demande est répétée. Vous pouvez également cocher la case "Afficher les résultats dans une nouvelle session", auquel cas une nouvelle fenêtre s'ouvrira où les requêtes seront exécutées.

Sommaire

Dans cet article, nous avons tenté de décrire les fonctionnalités de Charles Proxy utilisées par les testeurs d'applications mobiles. C'est tout, et n'oubliez pas de joindre la session du sniffer au rapport de bogue.