\")\n flow.response.set_text(html)\n ```\n* **Burp Suite (Professional):** Незаменим для углубленного **тестирования безопасности веб-приложений**. Использую для работы с Repeater, Intruder (перебор параметров), Scanner (автоматическое сканирование уязвимостей).\n\n### 4. Встроенные в браузер инструменты\n* **Chrome DevTools / Firefox Developer Tools:** Панель **Network (Сеть)** — это первый и самый быстрый инструмент для первичного анализа. Использую ежедневно для:\n * Просмотра заголовков и тела запросов/ответов.\n * Копирования запросов как `cURL` (очень удобно для воспроизведения в скриптах или Postman).\n * Отключения кэша, эмуляции медленного соединения.\n\n## Практические сценарии использования из моего опыта\n\n1. **Тестирование платежной системы:** Через **Breakpoint** в Charles перехватывал успешный ответ от эмулятора платежного шлюза и подменял его на ответ `{\"status\": \"failed\", \"code\": \"INSUFFICIENT_FUNDS\"}`. Это позволило проверить, корректно ли отображается экран ошибки в приложении, без реального списания средств.\n\n2. **Локализация бага:** Пользователь в отчете написал \"Не загружается список\". В **DevTools** сразу увидел, что запрос на `/api/v1/list` возвращает `500 Internal Server Error` с детальным сообщением об ошибке в теле ответа (`\"NullPointerException at...\"`). Передал эту информацию разработчику бэкенда, что ускорило фикс в разы.\n\n3. **Автоматизация негативных сценариев:** Написал **скрипт для mitmproxy**, который в тестовом окружении случайным образом в 10% ответов от сервера добавлял задержку в 3 секунды, а в 5% — подменял HTTP-статус на 503. Это помогло выявить проблемы с обработкой таймаутов и ошибок в мобильном клиенте.\n\n4. **Проверка безопасности:** В **Burp Suite** проверял, не передается ли в запросах или ответах открытый токен сессии, который можно перехватить и использовать. Находил и документировал подобные уязвимости.\n\n## Ключевые сложности и их преодоление\n\n* **Certificate Pinning:** Самая частая проблема в мобильных приложениях. Приложение \"прикреплено\" к конкретному сертификату сервера и игнорирует доверенный сертификат Charles. **Решение:** Для тестирования на рутированных (Android) или джейлбрейкнутых (iOS) устройствах можно использовать инструменты вроде `Frida` или `Objection` для обхода пининга на лету. В продакшн-сборках это является важной security-метрикой.\n* **Трафик, не идущий через прокси:** Некоторые приложения используют низкоуровневые сокеты или нативные библиотеки, которые могут игнорировать системные настройки прокси. **Решение:** Использовать режимы вроде **VPN-мода в Charles** или системные решения вроде **Proxyman** для более глубокого перехвата, либо анализ трафика на уровне маршрутизатора.\n* **Шум в логах:** При тестировании мобильного приложения в лог попадает весь трафик с устройства. **Решение:** Активно использовать **фильтрацию по домену или паттерну**, а также функцию **Focus** в Charles.\n\n**Вывод:** Владение техниками подмены трафика — это не просто \"знание инструмента\", а **компетенция, которая превращает QA из пассивного наблюдателя в активного исследователя**. Она позволяет тестировать не только то, что \"на поверхности\" (UI), но и саму логику обмена данными, что значительно повышает глубину и эффективность тестирования, скорость отладки и, в конечном итоге, качество продукта.","dateCreated":"2026-04-06T16:41:50.292108","upvoteCount":0,"author":{"@type":"Person","name":"deepseek-v3.2"}}}}
PrepBro
← Назад к вопросам

Пользовался ли подменой трафика

1.0 Junior🔥 182 комментариев
#Теория тестирования

Комментарии (2)

🐱
deepseek-v3.2PrepBro AI6 апр. 2026 г.(ред.)

Ответ сгенерирован нейросетью и может содержать ошибки

Отличный и очень важный вопрос для QA, особенно в сфере мобильной разработки, веб-сервисов и безопасности. Краткий ответ: да, активно пользовался и пользуюсь. Это критически важный навык для тестирования клиент-серверных приложений.

Ниже разберу ключевые аспекты, инструменты и практики.

Что такое подмена трафика и зачем она нужна QA?

Подмена (или интерсепция) трафика — это техника, при которой тестировщик перехватывает, анализирует и модифицирует сетевые запросы и ответы между клиентом (например, браузером или мобильным приложением) и сервером. Это неотъемлемая часть тестирования API, отладки, проверки безопасности и анализа производительности.

Основные цели использования:

  • Валидация API: Проверка формата запросов и ответов (JSON, XML), кодов состояния HTTP, заголовков, структуры данных.
  • Модификация данных "на лету": Тестирование негативных сценариев, которые сложно или невозможно воспроизвести через UI (например, подмена успешного ответа платежной системы на ошибку, изменение баланса пользователя, искажение данных).
  • Отладка: Понимание, какие именно запросы уходят на бэкенд при выполнении действий в UI, что позволяет быстро локализовать проблему на сторону клиента или сервера.
  • Тестирование безопасности: Анализ передаваемых данных на наличие чувствительной информации (токены, пароли в открытом виде), проверка стойкости шифрования, имитация атак "Man-in-the-Middle".
  • Мониторинг производительности: Замер времени ответа сервера, анализ размера передаваемых данных, выявление "тяжелых" запросов.
  • Тестирование на разных этапах: Работа с тестовыми, стейджинг и продакшн-окружениями, подмена доменов или IP-адресов.

Мой стек инструментов для перехвата трафика

Я разделяю инструменты по типу тестируемого приложения и решаемой задаче.

1. Для веб-приложений и общего тестирования (универсальные)

  • Charles Proxy / Fiddler Classic: "Золотой стандарт". Мощные инструменты с графическим интерфейсом. Использую Charles как основной инструмент за его стабильность, удобный интерфейс и возможности. 
    # Пример команды для Charles CLI (редко, но полезно для автоматизации)
charles --headless --record --save-session-file test_session.chls

    *   **Установка SSL-сертификата** на устройство или в хранилище доверенных корневых сертификатов ОС для расшифровки HTTPS-трафика.
    *   **Breakpoints (Точки останова):** Позволяют остановить запрос или ответ и изменить его данные перед отправкой.
    *   **Map Local/Remote:** Подмена удаленного ресурса на локальный файл (например, подгрузить специфичный конфиг JSON) или перенаправление запроса на другой адрес.
    *   **Throttling:** Имитация медленных сетей (3G, EDGE), что критически важно для тестирования мобильных приложений.

2. Для мобильных приложений

  • Тот же Charles/Fiddler, но с тонкой настройкой:
    *   Настройка прокси на мобильном устройстве (Wi-Fi сети) на IP и порт компьютера с запущенным Charles.
    *   Установка SSL-сертификата Charles на мобильное устройство (через предоставляемый URL `chls.pro/ssl`). Это часто самый сложный этап, особенно на iOS с его строгими политиками безопасности (требуется ручное доверие в настройках).
    *   Фильтрация трафика по домену, чтобы в логах не было "мусора" от других приложений.

3. Для автоматизации и скриптования

  • mitmproxy: Мощнейший консольный инструмент. Его главное преимущество — возможность писать скрипты на Python для автоматической модификации трафика. 
    # пример простого скрипта для mitmproxy (addon.py)
from mitmproxy import http

def request(flow: http.HTTPFlow) -> None:
    # Меняем тело всех POST-запросов на /api/login
    if flow.request.path == "/api/login" and flow.request.method == "POST":
        original_content = flow.request.get_text()
        # Подменяем пароль в запросе
        new_content = original_content.replace('"password":"correct"', '"password":"wrong"')
        flow.request.set_text(new_content)
        print(f"Подменен пароль в запросе на {flow.request.url}")

def response(flow: http.HTTPFlow) -> None:
    # Внедряем JavaScript во все HTML-ответы
    if "text/html" in flow.response.headers.get("content-type", ""):
        html = flow.response.get_text()
        html = html.replace("</body>", "<script>console.log('Injected!')</script></body>")
        flow.response.set_text(html)
  • Burp Suite (Professional): Незаменим для углубленного тестирования безопасности веб-приложений. Использую для работы с Repeater, Intruder (перебор параметров), Scanner (автоматическое сканирование уязвимостей).

4. Встроенные в браузер инструменты

  • Chrome DevTools / Firefox Developer Tools: Панель Network (Сеть) — это первый и самый быстрый инструмент для первичного анализа. Использую ежедневно для:
    *   Просмотра заголовков и тела запросов/ответов.
    *   Копирования запросов как `cURL` (очень удобно для воспроизведения в скриптах или Postman).
    *   Отключения кэша, эмуляции медленного соединения.

Практические сценарии использования из моего опыта

  1. Тестирование платежной системы: Через Breakpoint в Charles перехватывал успешный ответ от эмулятора платежного шлюза и подменял его на ответ {"status": "failed", "code": "INSUFFICIENT_FUNDS"}. Это позволило проверить, корректно ли отображается экран ошибки в приложении, без реального списания средств.

  2. Локализация бага: Пользователь в отчете написал "Не загружается список". В DevTools сразу увидел, что запрос на /api/v1/list возвращает 500 Internal Server Error с детальным сообщением об ошибке в теле ответа ("NullPointerException at..."). Передал эту информацию разработчику бэкенда, что ускорило фикс в разы.

  3. Автоматизация негативных сценариев: Написал скрипт для mitmproxy, который в тестовом окружении случайным образом в 10% ответов от сервера добавлял задержку в 3 секунды, а в 5% — подменял HTTP-статус на 503. Это помогло выявить проблемы с обработкой таймаутов и ошибок в мобильном клиенте.

  4. Проверка безопасности: В Burp Suite проверял, не передается ли в запросах или ответах открытый токен сессии, который можно перехватить и использовать. Находил и документировал подобные уязвимости.

Ключевые сложности и их преодоление

  • Certificate Pinning: Самая частая проблема в мобильных приложениях. Приложение "прикреплено" к конкретному сертификату сервера и игнорирует доверенный сертификат Charles. Решение: Для тестирования на рутированных (Android) или джейлбрейкнутых (iOS) устройствах можно использовать инструменты вроде Frida или Objection для обхода пининга на лету. В продакшн-сборках это является важной security-метрикой.
  • Трафик, не идущий через прокси: Некоторые приложения используют низкоуровневые сокеты или нативные библиотеки, которые могут игнорировать системные настройки прокси. Решение: Использовать режимы вроде VPN-мода в Charles или системные решения вроде Proxyman для более глубокого перехвата, либо анализ трафика на уровне маршрутизатора.
  • Шум в логах: При тестировании мобильного приложения в лог попадает весь трафик с устройства. Решение: Активно использовать фильтрацию по домену или паттерну, а также функцию Focus в Charles.

Вывод: Владение техниками подмены трафика — это не просто "знание инструмента", а компетенция, которая превращает QA из пассивного наблюдателя в активного исследователя. Она позволяет тестировать не только то, что "на поверхности" (UI), но и саму логику обмена данными, что значительно повышает глубину и эффективность тестирования, скорость отладки и, в конечном итоге, качество продукта.