本案例以WebTours购票过程为例,在webtours里正常登入并购票,过程中使用Fiddler抓包,并使用badboy录制购票过程,导入到Jmeter中:
首先看看购票后台,记录了本次购票的信息:
我们使用jmeter正常跑一遍之前录制的脚本,可以看到此次购票过程没有出现问题:
接下来,我们禁用登入过程,直接执行购票的支付接口:
通过后台,我们可以发现此次购票没有成功,那么这是否说明我们的支付接口就是是安全的呢,接下来我们打开Fiddler:
通过Fiddler我们发现支付接口存在cookie缓存,那么我们复制这个cookie,将其添加到我们jmeter的HTTP信息头管理器中,再次测试,我们可以看到cookie已经添加到了我们的http请求当中:
查看后台,我们发现我们绕过了支付环节,购票的数据竟然成功的写入账户:
接下来继续一个小测试,我们将请求数据的301改成0.01,测试该过程:
结果发现我们的后台金额变成了0.01,这显然也是一个很大的bug。