你用Charles发现了哪些bug?怎么操作的?

关于Charles工具本身的一点认识:

  1. 抓包;
  2. 弱网;
  3. 反向代理;
  4. 修改参数

问题:
在实际测试工作中,Charles到底是如何发现bug的?是用来发现前端的问题,还是服务端的?

另外关于Charles的只言片语:
1.(某次面试他人)他说:他们的某个金额后端没有校验,是通过前端控制的,然后呢就有人跳过前端篡改了参数,导致严重问题,他们公司才开始做的接口测试。—现在开始怀疑他言语的真实性。如果真是涉及金额,服务端有这么草率?
2. 今晚老师讲课时说了句,Charles不是对服务端测试的工具,是通过修改mock验证前端的…那么:
1> . 为什么把Charles放到接口的课程里呢?
2>. 如果测试前端,是通过修改为异常数值(超长,还是什么的),查看前端是否显示异常吗?页面显示超出范围,or崩溃?
3.据我个人经验的考虑,可以通过抓取前端的访问数据,查看是否正确传参,or服务端是否返回正确;也就是说判断bug是属于前端还是服务端的。
4.有时会用During time向研发某个接口太慢。

请说说你的使用经验,感谢!

这种漏洞每年都有,原因是分工问题,后端工程师偷懒,我记得京东就爆过充值漏洞。不是校验不了,是工期紧张会故意省略或者缩水。

收到大佬的回复好激动

因为里面的知识就是接口相关的,既可以用来实现服务端解耦测试前端,也可以用于服务器接口之间的解耦与mock。
可参考google这个文章

1 Like
关闭