در حالی که هدف اصلی Apache JMeter ™ تست بار است، قابلیت های این ابزار آن را قادر به انجام تست های امنیتی و تست اتوماتیک می سازد. تست امنیتی قصد دارد آسیب پذیری های سیستم را شناسایی کند و تعیین کند که آیا اطلاعات و منابع آن از سمت هکر ها محافظت می شود یا خیر.

به منظور آشنایی کامل با ابزار JMeter می توانید بسته آموزشی این ابزار را از این لینک دانلود نمایید.

خزیدن در سایت

هنگامی که قصد تست امنیت نرم افزار خود را دارید مهمترین مرحله جمع آوری اطلاعات است. Spider Site به شما اجازه می دهد تا یک نقشه از مکان های قابل مشاهده سایت (مکان هایی را که می توانید با استفاده از آنها به وب سایت دسترسی داشته باشید) رسم کنید.

توسط ماژول Regular Expression Extractor امکان استخراج منابع دلخواه خود را پس از خزیدن در وب سایت توسط ماژول HTTP Request Sampler خواهید داشت.

توسط ماژول XPath Extractor امکان استخراج URL های موجود در صفحات را خواهید داشت.

توسط CSS/JQuery Extractor امکان استخراج منابع HTML DOM را که استخراج آن توسط ماژول Regular Expression Extractor مشکل است، خواهید داشت.

توسط ماژول HTML Link Parser که توضیحات آن در بسته آموزشی JMeter بطور کامل درج شده است امکان استخراج تمامی URL ها از یک وب سایت را خواهید داشت.

Fuzzing

Fuzz Testing یا به اصطلاح Fuzzing، در واقع یک تکنیک تست نرم افزار است که برای پیدا کردن خطاهای coding و حفره های امنیتی در نرم افزار، سیستم های عامل یا شبکه هایی با ورودی عظیمی از داده های تصادفی مورد استفاده قرار میگیرد. این فرایند که به Fuzz معروف است با هدف اختلال در سیستم نرم افزار در نتیجه اجرای آن صورت میپذیرد.

تست Fuzz شبیه به تست عملکرد است که تفاوت اصلی آن در داده های تستی می باشد.

در اینجا ما یک فایل CSV شامل نام کاربری های مختلف تعریف کرده و از آن ستون بعنوان یک متغیر با نام csv_line برای تست نام کاربری در تست Fuzz استفاده می کنیم. این تست همانند Brute Force می باشد که توسط ابزار JMeter با قابلیت های بسیار بیشتر پیاده سازی می شود. سپس نتایج را توسط Response Assertion تحلیل می کنیم.

همچنین می توانیم از ابزار JMeter در جهت تست توزیع انکار سرویس و یا DDoS و همچنین تست API همانند REST/SOAP استفاده کنیم.

تست امنیتی توسط ابزار JMeter