Hoje ao analisar uma aplicação que só funcionava adequadamente no Internet Explorer, eu percebi o quanto sou dependente de alguns plugins do Firefox (HTTP Live Header, Tamper Data, Firebug, HTTPFox, entre outros). Eu realizo muitos testes manuais e eles são essenciais nestas análises, o Internet Explorer também possui alguns plugins, mas eu ainda não tive a oportunidade de testá-los.
Como eu precisava de uma opção rápida, optei pelo Fiddler. Já fazia um bom tempo que eu não o utilizava, a última vez foi para testar o Watcher, quando foi lançado há alguns meses atrás.
O fiddler, atualmente na versão v2.2.2.2.2 Beta (isso mesmo, eu não me enganei na quantidade de números 2), é um sniffer bem completo e que possui uma série de plugins que ajudam muito na depuração e identificação de falhas em aplicações web. Com uma interface bastante apurada você pode mapear claramente a aplicação e inclusive documentar requisições usando a opção Comment. Para utilizar o Fiddler basta iniciá-lo e configurar o seu Internet Explorer para usar o proxy no endereço IP 127.0.0.1 (Localhost) na porta 8888.
Bom, vamos ao que interessa, as extensões que o Fiddler possui. Uma bem interessante e que lembra muito o modo de teste do Ratproxy (análise passiva) do Google, é o Watcher. Esta extensão se acopla ao Fiddler e realiza uma série de testes de segurança da aplicação.
O modo de instalação do Watcher é bem simples, basta extrair os seguintes arquivos do pacote de instalação: Watcher.dll e WatcherCheckLib.dll no diretório scripts que se encontra no diretório: %userprofile%\My Documents\Fiddler2\Scripts no Windows XP e %userprofile%\Documents\Fiddler2\Scripts. Após a extração dos arquivos no diretório adequado é só reiniciar o Fiddler que irá aparecer uma aba chamada: Security Auditor.
Como utilizar o Watcher?
Na aba Security Auditor insira o domínio da aplicação que você deseja testar.
Após definir o domínio é só clicar em Save Config e navegar na aplicação usando o Internet Explorer configurado para navegar usando o Fiddler como proxy.
Após navegar por toda a aplicação que você deseja testar, clique na aba Results do Watcher e confira a análise realizada.
O que eu achei bem interessante no Watcher foi a possibilidade de incluir, alterar as mensagens que ele analisa durante o parser nas respostas a requisições na página. Um que vale a pena gastar um tempo e incluir palavras chaves é o teste que procura por palavras chaves em comentários no código.
Ah! Quem utiliza o Internet Explorer para testar aplicações e quer sugerir plugins, ferramentas, o comentário está ai pra isto.
[Update 31/08/2009]
Alguns plugins para o Internet Explorer:
Tamper IE: Similar ao excelente Tamper Data do Firefox
Internet Explorer Developer Toolbar: Similar ao Web developer Toolbar do Firefox
HTTP Watch: Similar ao HTTP Live Header do Firefox
IECookiesView: Similar ao CookieEditor do Firefox
3 comentários:
Wagner me falaram q vc está com um curso online...onde pego as informações!!
Oi Marco,
nós iniciamos um trabalho com a Virtual Testing, mas ainda necessita de alguns ajustes. Por favor, me mande um e-mail com a sua necessidade que eu lhe passo mais informações.
Abs.
Bom dia, primeiramente parabéns pelo post.
Estou a procura de ferramentas para testes de segurança e achei muito interessante o uso do Watcher, porém, embora pareça simples lendo seu post não consigo que os resultados sejam mostrados na aba Results...tem ideia do que possa ser?
Defini o domínio como mostra sua imagem, mas o Watcher não reconhece nenhum site.
Já o Fiddler está funcionando corretamente.
Aguardo retorno, se possível.
Obrigada
=)
Postar um comentário