8 de junho de 2009

Fiddler, uma boa opção para teste de app web

Hoje ao analisar uma aplicação que só funcionava adequadamente no Internet Explorer, eu percebi o quanto sou dependente de alguns plugins do Firefox (HTTP Live Header, Tamper Data, Firebug, HTTPFox, entre outros). Eu realizo muitos testes manuais e eles são essenciais nestas análises, o Internet Explorer também possui alguns plugins, mas eu ainda não tive a oportunidade de testá-los.

Como eu precisava de uma opção rápida, optei pelo Fiddler. Já fazia um bom tempo que eu não o utilizava, a última vez foi para testar o Watcher, quando foi lançado há alguns meses atrás.

O fiddler, atualmente na versão v2.2.2.2.2 Beta (isso mesmo, eu não me enganei na quantidade de números 2), é um sniffer bem completo e que possui uma série de plugins que ajudam muito na depuração e identificação de falhas em aplicações web. Com uma interface bastante apurada você pode mapear claramente a aplicação e inclusive documentar requisições usando a opção Comment. Para utilizar o Fiddler basta iniciá-lo e configurar o seu Internet Explorer para usar o proxy no endereço IP 127.0.0.1 (Localhost) na porta 8888.

Bom, vamos ao que interessa, as extensões que o Fiddler possui. Uma bem interessante e que lembra muito o modo de teste do Ratproxy (análise passiva) do Google, é o Watcher. Esta extensão se acopla ao Fiddler e realiza uma série de testes de segurança da aplicação.

O modo de instalação do Watcher é bem simples, basta extrair os seguintes arquivos do pacote de instalação: Watcher.dll e WatcherCheckLib.dll no diretório scripts que se encontra no diretório: %userprofile%\My Documents\Fiddler2\Scripts no Windows XP e %userprofile%\Documents\Fiddler2\Scripts. Após a extração dos arquivos no diretório adequado é só reiniciar o Fiddler que irá aparecer uma aba chamada: Security Auditor.

Como utilizar o Watcher
?

Na aba Security Auditor insira o domínio da aplicação que você deseja testar.

Após definir o domínio é só clicar em Save Config e navegar na aplicação usando o Internet Explorer configurado para navegar usando o Fiddler como proxy.

Após navegar por toda a aplicação que você deseja testar, clique na aba Results do Watcher e confira a análise realizada.

O que eu achei bem interessante no Watcher foi a possibilidade de incluir, alterar as mensagens que ele analisa durante o parser nas respostas a requisições na página. Um que vale a pena gastar um tempo e incluir palavras chaves é o teste que procura por palavras chaves em comentários no código.

Ah! Quem utiliza o Internet Explorer para testar aplicações e quer sugerir plugins, ferramentas, o comentário está ai pra isto.

[Update 31/08/2009]

Alguns plugins para o Internet Explorer:

Tamper IE: Similar ao excelente Tamper Data do Firefox
Internet Explorer Developer Toolbar: Similar ao Web developer Toolbar do Firefox
HTTP Watch:
Similar ao HTTP Live Header do Firefox
IECookiesView: Similar ao CookieEditor do Firefox

3 comentários:

Marco disse...

Wagner me falaram q vc está com um curso online...onde pego as informações!!

Elias Wagner disse...

Oi Marco,

nós iniciamos um trabalho com a Virtual Testing, mas ainda necessita de alguns ajustes. Por favor, me mande um e-mail com a sua necessidade que eu lhe passo mais informações.

Abs.

Juliana disse...

Bom dia, primeiramente parabéns pelo post.
Estou a procura de ferramentas para testes de segurança e achei muito interessante o uso do Watcher, porém, embora pareça simples lendo seu post não consigo que os resultados sejam mostrados na aba Results...tem ideia do que possa ser?

Defini o domínio como mostra sua imagem, mas o Watcher não reconhece nenhum site.
Já o Fiddler está funcionando corretamente.

Aguardo retorno, se possível.
Obrigada

=)