チャールズプロキシを飼いならす方法は？

こんにちは！テスターのポジションのために私たちのインタビューに来る人の多くは、チャールズプロキシを使用できることを誇らしげに保証しています。しかし、技術的な部分に飛び込むと、候補者はこのツールについてしか聞いたことがないことが明らかになります。ついにこの花瓶を飼いならしましょう！







ウィキペディアによると：

Charlesは、Javaで記述されたクロスプラットフォームのHTTPデバッグプロキシアプリケーションです。これにより、ユーザーは、ローカルコンピューターから、ローカルコンピューターへ、またはローカルコンピューターを介してアクセスされるHTTP、HTTPS、および有効なTCPポートトラフィックを表示できます。これには、HTTPヘッダーやメタデータ（Cookie、キャッシング、エンコード情報など）を含む要求と応答が含まれ、開発者とテスターが接続を分析してメッセージを交換するのに役立つように設計された機能が含まれます。

簡単な説明スニッフィングは、スニッフィングツール（Charles Proxy）を使用して、ネットワークを通過するすべてのパケットを監視および傍受するプロセスです。

最初のステップ

1.インストールと起動



最初に、アプリケーションをダウンロードしてインストールする必要があります。



ライセンスを購入していない場合は、制限付きの30日間の試用版を利用できます（機能はブロックされませんが、ウィンドウは使用を再開する前に5〜10秒のタイムアウトで表示され、アプリケーションは30分後に終了します）。



2.私たちは、トラフィック盗聴開始



スタートチャールズプロキシを、メニューに行くヘルプ→ SSLプロキシは→チャールズ・ルート証明書をインストールします→（1を参照）証明書をインストール→証明書をインポートして。







これでリクエストが表示されますが、リクエストは暗号化されており、象形文字以外は何も表示されません。要求/応答を通常の形式で表示するには、SSLプロキシを有効にし、パケットをインターセプトするドメインを構成する必要があります。そして、すべてのサイトからリクエストを受け取りたいと思っています。これを行うには、に行くプロキシ→ SSLプロキシ設定。







開いたダイアログボックスで、[ SSLプロキシを有効にする]チェックボックスをオンにし、[含める]セクションを選択して、[追加]をクリックします。







次に、[ホスト]フィールドに*を入力し（スクリーンショットを参照）、[ OK ]をクリックします。







[SSLプロキシ設定]ダイアログボックスで、[ OK ]をクリックします。







これで、サーバーに送信された要求とサーバーの応答を監視できます。



3. Webブラウザトラフィックのプロキシ



Charlesを再起動するときは、Windowsプロキシ（Windowsを使用している場合）またはMacプロキシをアクティブ化する必要があります。







4. Androidでのプロキシの構成



Androidアプリケーション要求を表示するには、マニフェストに設定された権限を持つ対応するAndroidアプリケーションアセンブリが必要です。そのようなアプリケーションがあり、そこからトラフィックを取得し始めたいとしましょう。



これを行うには、PCのIPアドレスを確認します。CharlesProxyで、[ヘルプ] →[ローカルIPアドレス]に移動します。あなたのIPは次のとおり192.168.1.50です。







次に、電話を取り、開きますネットワークプロパティ-> WiFiネットワーク名->プロキシサーバー->手動->ホスト名：* IP * /ポート：* 8888 *->変更したネットワークプロパティを保存します。



ここで、リンクchls.pro/sslまたはcharlesproxy.com/getsslをたどる必要があります。そうすると、証明書の自動ダウンロードが開始されます。それを開き、証明書の名前を設定すると、Androidアプリのトラフィックにアクセスできるようになります。



5. iOSでのプロキシの構成



iPhoneを手に取り、[ネットワークプロパティ]→[WiFiネットワーク名]→[プロキシサーバー]→[手動]→[ホスト名：* IP * /ポート：* 8888 * →変更したネットワークプロパティを保存します]を開きます。



次に、リンクchls.pro/sslまたはcharlesproxy.com/getsslをたどる必要があります、構成プロファイルのロードを「許可」します。次に、に行く設定→プロファイルをロード→インストールしてください。その後に行く設定→一般→このデバイスについて→トラスト証明書がインストールされた証明書を見つけて、それが「信頼」します→。

チャールズプロキシ機能

1. データ置換：
   
   
   • 1.1ブレークポイント
   • 1.2書き直し
   • 1.3ローカルマップ
2. プロキシ：
   
   
   • 2.1スロットル設定
   • 2.2リバースプロキシ
   • 2.3ポート転送
   • 2.4 MacOSのプロキシ/ Windowsプロキシ
3. ツール：
   
   
   • 3.1キャッシングなし
   • 3.2ブロックCookie
   • 3.3リモートマップ
   • 3.4ブロックリスト
   • 3.5 DNSスプーフィング
   • 3.6ミラー
   • 3.7作成
4. 録音設定
5. フォーカス
6. 繰り返す
7. 高度な繰り返し

1.データ置換

クライアントでレイアウトをテストする必要があると想像してみましょう。多数のユーザーボーナスがどのように表示されるかを確認する必要があります。多くの人が提供するオプションの1つは、データベース内のボーナスの数を変更し、クライアントを確認することです。はい、あなたは正しいでしょう！ただし、サーバーにキャッシュがある場合があり、ボーナスの数が更新されるまでしばらく待つか、データベース自体に接続してリクエストを実行する必要があります。これには一定の時間がかかります。より簡単なオプションがあります：サーバーからの応答を変更してください！Charles Proxyには、データをスプーフィングする3つの方法があります。

1.1ブレークポイント

ブレークポイントは、リクエストの一種のブレークポイントです。指定されたリストからの要求が見つかると、別のウィンドウが開き、要求パラメーターをさらに手動で操作できます。その中で、リクエストとレスポンスを手動で変更するに進みます。 APIまたはさまざまなサーバー応答をテストするときに、この関数を使用すると便利です。



現在、アカウントにボーナスが0のアプリケーションとユーザープロファイルがあります。





この数のボーナスが含まれるリクエスト：https://api.youla.io/api/v1/user/5e6222bbbedcc5975d2375f8







リクエストでブレークポイントを「ハング」するには、[プロキシ] → [ブレークポイント設定]セクションに移動します。次に、[ブレークポイントを有効にする] →[追加]チェックボックスをオンにし、開いた[ブレークポイントの編集]ダイアログボックスで、スクリーンショットに示すようにリクエストURLを貼り付けます。







たとえば、[リクエスト]ボックスと[レスポンス]ボックスをオンにします。次にをクリックし、[OK] 、および[OK]を再びブレークポイントの設定]ウィンドウで。ここでリクエストを再度実行します。つまり、クライアントはユーザープロファイルを使用して画面を再度開きます。



Charles Proxyでは、リクエストが一時停止されていることがわかります。







ここで、クエリパラメータを変更できます。ただし、これを行う必要はありません。「実行」をクリックしてください。次に、サーバーからすでに受信した応答を一時停止します。ここで「応答」を編集する必要があります。必要なパラメータを見つけます- bonus_cnt»: 45。







次に、パラメータの値bonus_cntをたとえば1,000,000ボーナスに変更し、[実行]をクリックします。







クライアントは新しい金額のボーナスを表示します。私達はリッチ！

1.2書き直し

Rewriteは、CharlesProxyを通過するときに要求と応答を変更するルールを作成できるツールです。たとえば、タイトルを追加および変更したり、応答または要求の本文のテキストを検索および置換したりできます。



Rewriteを使用して、ユーザーのボーナスの金額を変更してみましょう。これを行うには、[ツール] →[書き換え]を開き、[書き換えを有効にする] →[追加]チェックボックスをオンにします。 [名前]フィールドには、「ボーナスの変更」などの置換の名前を入力するか、デフォルトの「無題のセット」のままにすることができます。







次のステップは、リクエストパスを「場所」に追加することです。これを行うには、[場所] →[追加]セクションで次のフィールドに入力して保存します。



ホスト： https://api.youla.io



パス： /api/v1/user/5e6222bbbedcc5975d2375f8







リクエストパスを追加したら、パラメータ自体とその値を変更する必要があります。これを行うには、書き換えルールを作成する必要があります。



タイプ：本文（パラメーターが本文にあるため）。



ここで：応答（パラメーターがサーバーからの応答にあるため）。



一致セクション：「値」で、サーバーが返す値とパラメーターを指定します。



セクションの置換：「値」で、クライアントに表示する値とパラメーターを指定します。







次に、「書き換えルール」を保存し、「書き換え設定」タブで「OK」をクリックします。クライアントで、ユーザープロファイルを再度要求します。ユーザーボーナスの数を自動的に変更しました。また金持ちです！

1.3ローカルマップ

Map Localは、ローカルファイルをサーバーの一部であるかのように使用できるようにするツールです。



[ツール]→[ローカルマップ]に移動します。







次に、[ローカル設定のマップ]ウィンドウで、[追加] → [ホスト：] → [https://api.youla.io/api/v1/user/5e6222bbbedcc5975d2375f8ローカルパス]をクリックします。コンピューター上のファイルへのパスです。既製のメディアファイル、HTML、CSS、JSON、XMLを使用できます。もちろん、開発者にとっては、後続のテストのためにサーバーにデータをアップロードしない方が適していますが、テスターは有能なアプリケーションを見つけることもできます。事前に必要な回答を用意し、change_bonus.jsonファイルに







保存しました。入力した値を[マッピングの編集]タブと[ローカル設定のマップ]タブに保存します。







クライアントで、ユーザープロファイルを再度要求します。ユーザーボーナスの数を自動的に変更しました。また金持ちです！





CharlesProxyツールの他の機能を見てみましょう。そして、最初から「プロキシ」タブから始めましょう。

2.1スロットル設定

スロットル設定は、選択したドメインとの接続速度のさまざまなパラメーターを設定できる機能です。



エレベーター、地下鉄、地下道でテストしたい人のための機能。さんがに行こうプロキシ→スロットル設定→調整を有効にするチェックボックス。上記のすべての点を理解していない場合は、スロットルプリセットを使用してテストに適切な速度を選択すると、システムが残りのフィールドに自動的に入力します。







「選択したホストのみ」を選択すると、設定を適用する特定のホストを設定できます。ここでは、さまざまなタイプ（4G、3Gなど）の設定で既製のプリセットを使用できます。また、さまざまなパラメータを設定することもできます。それらのいくつかを簡単にリストします。



帯域幅は、時間の経過とともに転送できるデータの最大量です。



使用率は、任意の時点でユーザーに提供できる合計帯域幅の一部です。



レイテンシー-クライアントとリモートサーバー間の最初の要求のミリ秒単位のレイテンシー。



MTUは、現在のプリセットの最大送信ユニットです。



信頼性-接続が失敗する可能性の尺度。信頼性の低いネットワーク状態をシミュレートするために使用されます。



安定性は、接続が不安定になり、品質が低下する可能性の尺度です。モバイルなど、通信品質が定期的に低下するネットワークのシミュレーションに役立ちます。

2.2リバースプロキシ

リバースプロキシはリバースプロキシサーバーです。通常、インターネットからリクエストを受信し、それらをWebサーバーの1つにリダイレクトするために使用されます。

2.3ポート転送

ポート転送は、ポート転送またはトンネリングと呼ばれることもあり、特定のネットワークポートにアドレス指定されたトラフィックを1つのネットワークノードから別のネットワークノードに転送するプロセスです。この方法では、外部ユーザーがローカルネットワーク内のポートにアクセスできます。

2.4MacOSプロキシ/ Windowsプロキシ

MacOSプロキシまたはWindowsプロキシ（OSによって異なります）-Webブラウザからのトラフィックをプロキシします。







プロキシセクションを扱ったので、ツールセクションに移りましょう。

3.1キャッシングなし

No Caching ツールは、応答キャッシングを制御するHTTPヘッダーを操作することにより、キャッシングを防止します。ヘッダーIf-Modified-Sinceとは、If-None-Match要求から削除され、Pragma: no-cacheそして追加されますCache-control: no-cache。ヘッダExpires、Last-ModifiedおよびETag解答から削除して、コメントを追加しているExpires: 0、とCache-Control: no-cache。

3.2ブロックCookie

Cookieのブロック-Cookieヘッダーがリクエストから削除され、ファイル値がクライアントアプリケーション（Webブラウザーなど）からリモートサーバーに送信されなくなります。また、Set-Cookieヘッダーが応答から削除され、クライアントアプリケーションがリモートサーバーからCookieを設定する要求を受信できなくなります。設定では、すべてのホストと選択したホストの両方でCookieの削除を有効にできます。以下の例では、すべてのリクエストに対してCookieの削除を有効にしています。

3.3リモートマップ

リモートマップ-あなたはURLから別のマップへのへの1地図からの要求をリダイレクトすることができます。タスクに応じて、ホスト、パス全体、またはパラメーターのみを置き換えます。以下の例では、prodサーバーからdevサーバーへの要求が置き換えられています。

3.4ブロックリスト

ブロックリスト-特定のドメイン名をブロックできます。Webブラウザーがブロックされたドメイン名からページを要求しようとすると、そのページはブロックされます。「接続の切断」を選択するか、403エラーを返すことができます。

3.5DNSスプーフィング

共有ホスティングとは、同じIPアドレスに複数のサイトがあり、Webサーバーが、ブラウザーに入力された名前に基づいて、要求しているサイトを判別する場合です。より正確には、サーバーはリクエストで送信されたホストヘッダーを調べます。たとえば、ホストを置き換える必要がある場合、ブラウザにアドレス（api.youla.ruなど）を入力すると、リクエストは別のアドレス（たとえば、テストサイト）に送信されます。



DNSスプーフィング-ドメイン名を特定のIPアドレスにリダイレクトします。

3.6ミラー

ミラーリング-この機能を使用すると、CharlesProxyに返されたすべての応答を自動的に保存できます。これらは、サーバーと同じ階層にローカルに配置されます。バックエンドで突然ダウンタイムが発生したり、テスト環境が低下したりした場合は、MapLocal用の既製のモックがすでに用意されています。次のように機能をアクティブ化できます：ツール→ミラーまたはツール→自動保存。

3.7作成

作成は、キャッチしたクエリを編集する機能です。



たとえば、お気に入りに製品を追加したが、何らかの理由で追加されなかったとします。送信済みのリクエストを編集して、再送信できます。これを行うには、リストから必要なリクエストを選択し、それを右クリックして[作成]を選択します。リクエストアイコンが変わり、安全に編集できるようになります。







リクエストで必要な値を変更したら、下の[実行]をクリックしてリクエストをサーバーに送信します。

4.記録設定

記録設定-許可およびブロックされたドメインのリストを表示するための設定。



[オプション]タブで、制限、つまりCharlesProxyが記録できるリクエストの数を構成できます。







[含める]タブで、特定のドメインを選択してパッケージを表示できます。







[除外]タブでは、スニッフィング中に非表示にする必要があるドメインを選択できます。

5.フォーカス

フォーカス-この関数は、ドメインをリストの最初の位置に移動します。 

6.繰り返します

繰り返し-選択したサーバーと同じリクエストをサーバーに送信します。

7.詳細を繰り返します

リピートアドバンス-リピートと同じですが、送信されるリクエストの数とそれらの間の遅延を選択できるのはあなただけです。この機能は、フラッディングに対するサーバーの応答を確認するときに役立ちます。



ここで、同時実行はユーザーの数であり、反復は各要求が繰り返される回数です。[結果を新しいセッションに表示する]チェックボックスをオンにすることもできます。この場合、リクエストが実行される新しいウィンドウが開きます。

概要

この記事では、モバイルアプリケーションテスターが使用するCharlesProxyの機能について説明しました。以上で、スニファーからバグレポートにセッションを添付することを忘れないでください。