自动化工具 mitmproxy + python 实现游戏协议测试

最新推荐文章于 2025-07-27 13:49:32 发布
最新推荐文章于 2025-07-27 13:49:32 发布
阅读量1.1k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 软件测试 自动化测试 自动化测试工具 文章标签: 自动化 python 游戏 需求分析 学习 运维 log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DJ355/article/details/131978529
本文介绍了如何利用mitmproxy和Python来实现游戏协议的安全测试自动化。通过mitmproxy作为代理,可以拦截并处理websocket和socket通信,进行数据的解密和修改。文章详细讲解了创建和加载addon的步骤,以及使用mitmproxy进行TCP和WebSocket协议的处理。虽然客户端和protobuf编解码的实现未展开讨论,但提供了自动化测试进阶资源。

目录

前言:

一、游戏协议安全测试内容

二、实现原理

三、开启 mitmproxy 并加载 addon

1、编写 websocket 的 addon

2、编写 socket 的 addon

3、开启 mitmproxy 并完成处理函数

四、总结

前言:

Mitmproxy是一款开源的代理服务器,可以在 Wireshark 等嗅探工具中使用。它可以拦截网络请求,并对请求进行修改、重定向等操作。通过使用Mitmproxy和Python语言,可以实现游戏协议测试的自动化。

一、游戏协议安全测试内容

游戏协议安全测试是一种对游戏系统进行安全性评估的测试方法。它主要针对游戏协议的安全性进行测试,以确保游戏系统的安全性和稳定性。

二、实现原理

想直接使用的同学可以跳到第三部分。

mitmproxy 作为代理,可以获取客户端与服务端通信的数据,并且可以拦截、修改和自主发送数据。当配合其证书使用时,还可以解密 wss 连接中的 websocket 数据。

  • Websotcket 数据处理源码分析

在 http 代理的过程中若发现 upgrade websocket 请求,则创建 WebSocketLayer 实例,并调用其_call_方法。

# mitmproxy/proxy/protocol/http.py
"""以下为Httplayer的_process_flow方法的部分代码"""
if f.response.status_code == 101:
    # Handle a successful HTTP 101 Switching Protocols Response,
    # received after e.g. a WebSocket upgrade request.
    # Check for WebSocket handshake
    is_websocket = (
        websockets.check_handshake(f.request.headers) and
        websockets.check_handshake(f.response.headers)
    )
    if is_websocket and not self.config.options.websocket:
        self.log(
          "Client requested WebSocket connection, but the protocol is disabled.",
          "info"
        )

    if is_websocket and self.config.options.websocket:
        layer = WebSocketLayer(self, f)
    else:
        layer = self.ctx.next_layer(self)
    layer()

WebSocketLayer 初始化时会创建用于此次 websocket 通信的编解码器。

# mitmproxy/proxy/protocol/websocket.py
"""WebSocketLayer类的init方法,省略部分代码"""
def __init__(self, ctx, handshake_flow):
    super().__init__(ctx)
    self.handshake_flow = handshake_flow

    self.connections: dict[object, WSConnection] = {}

    client_extensions = []
    server_extensions = []
    # 判断交互数据是否使用deflate压缩
    if 'Sec-WebSocket-Extensions' in handshake_flow.response.headers:
        if PerMessageDeflate.name in handshake_flow.response.headers['Sec-WebSocket-Extensions']:
            client_extensions = [PerMessageDeflate()]
            server_extensions = [PerMessageDeflate()]
    # self.client_conn和self.server_conn继承自ctx,即原http的client和server,原理为父类的__getattr__(self, name)方法返回的是getattr(self.ctx, name)。WSConnection是一个websocket协议编解码器,实际不会发送任何网络IO,文档地址:https://python-hyper.org/projects/wsproto/en/latest/basic-usage.html
    # 负责和解码server收到信息和编码server发送的信息
    self.connections[self.client_conn] = WSConnection(ConnectionType.SERVER)
    # 负责和解码client收到信息和编码client发送的信息
    self.connections[self.server_conn] = WSConnection(ConnectionType.CLIENT)

    # 构造发送给Server的websocket的握手请求
    request = Request(extensions=client_extensions,host=handshake_flow.request.host,target=handshake_flow.request.path)
    # send()方法只会构造一个适用于对应conn的数据,并不会真正发送数据,recv_data()会将信息解码,需要通过next(conn.events())获取解码后数据
    # 按上所说,下面两行代码的操作是将握手请求按client编码后发送给server编码器,然后让server编码器解码
    data = self.connections[self.server_conn].send(request)
    self.connections[self.client_conn].receive_data(data)

    event = next(self.connections[self.client_conn].events())
    assert isinstance(event, events.Request)
    # 返回给客户端接受连接响应
    data = self.connections[self.client_conn].send(AcceptConnection(extensions=server_extensions))
    self.connections[self.server_conn].receive_data(data)
    assert isinstance(next(self.connections[self.server_conn].events()), events.AcceptConnection)

WebSocketLayer 实例的_call_方法负责处理后续 websocket 通信

# mitmproxy/proxy/protocol/websocket.py
"""WebSocketLayer类的call方法,省略部分代码"""
def __call__(self):
    self.flow = WebSocketFlow(self.client_conn, self.server_conn, self.handshake_flow)
    self.flow.metadata['websocket_handshake'] = self.handshake_flow.id
    self.handshake_flow.metadata['websocket_flow'] = self.flow.id
    # 调用addons中的websocket_start(self, flow)对flow进行处理
    self.channel.ask("websocket_start", self.flow)

    con
最低0.47元/天 解锁文章

200万优质内容无限畅学
游戏自动化协议测试工具的开发个人思路
gzh00001的博客
02-12 1万+
## 前言 自己从零到1尝试弄的一款工具,从一开始的第一步,了解封包,会了封包成功发了第一条协议后,再想如何摆放文件,(其中文件命名想了好久,大概是因为经验不不够)如何整理测试结果,到现在最终的成品,用的话是能用,但是总感觉差点什么。 写这文章的时候纠结了好久怎么写才能表达清楚,因为代码不能公开的原因,原本想着写一条用例出来,这样可能更让人明白点,不过最终还是放弃。。。 ## 概括: 基于pytest进行用例组织,运行和聚合报告 使用生产者消费者设计模式进行协议收发 gitlab CI实现自动定时触发
​一个超有意思的 Python 综合能力测试网站
苏克的博客
05-18 1030
这里是「每周分享」的第 28 期。往期分享内容可以在公众号后台的 「不务正业」菜单中找到,Python 类的文章在另一个「不误正业」菜单中。这一期的话题是:一个学习 Py...
Python Mitmproxy 代理工具
最新发布
dzjwwm的博客
07-27 442
本文介绍了Python mitmproxy代理工具的使用方法,包括安装命令、运行方式、证书配置以及抓包技巧。主要内容有:1) 通过pip安装mitmproxy;2) 使用mitmweb/mitmproxy命令启动代理;3) 配置HTTP代理和证书;4) 编写Python脚本拦截指定接口请求并同步到测试平台;5) 解决安卓模拟器抓包问题;6) 提供MAC和Ubuntu系统的自动代理脚本。文章还涉及Docker部署的CPU占用问题和相关参考资料,适合需要网络请求拦截和分析的开发者学习使用。
写一个适合自己游戏的简单的协议测试(接口测试工具/抓包工具
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
06-20 3309
曾几何时,wpe 是一个网络游戏抓包神器,我们在做协议测试的时候,也是通过 wpe 来抓包、改包和发包,来测试服务器对于非法协议的处理逻辑是否正确。wpe 操作简单,只需要加载进程,启动抓包,停止抓包就能看到所有与服务器之间的封包记录,但美中不足的是,wpe 抓取的封包内容全部是 16 进制显示,有时候我们需要改动某个字段,还需要先破译并找到字段位置来做修改,可读性比较差。随着时代的发展,现在的游戏做了很多的安全措施,wpe 已无法找到目标游戏的进程,其他的抓包工具也很少有能满足测试需求的。而且,我们公司的
基于TCP协议游戏代理接口测试工具<一>:设计初衷与工具构想
gameRunner的博客
08-31 4171
游戏协议测试工具
游戏接口协议测试
gameRunner的博客
05-11 2514
随着对于质量保障和安全性等各方面的要求越来越高,接口测试测试工作中所占的比重越来越大,不论是web项目、app还是游戏,接口测试都是不可或缺的一环。而在游戏业中,是否做好接口测试格外重要,往小了说影响是单个接口单系统,往大了说可能影响游戏的整体运营。此篇主要以游戏测试作为锚点,重点阐述在游测岗位怎么开展接口测试协议方面的话以tcp为例,希望能对想了解的同学有一定的帮助。
使用 mitmproxy + python 做拦截代理
墨鱼菜鸡
07-11 4295
From:https://blog.wolfogre.com/posts/usage-of-mitmproxy https://www.cnblogs.com/H4ck3R-XiX/p/12624072.htmlhttp://www.cnblogs.com/grandlulu/p/9525417.html mitmProxy 介绍:https:/...
软件测试丨Airtest 游戏自动化测试框架
ceshiren_com的博客
01-27 1537
Airtest 是由网易公司开发的跨平台游戏自动化测试框架,旨在为各类游戏产品提供全面的测试解决方案。这个框架不仅支持移动设备(如手机和平板)上的游戏,还支持 PC 游戏,甚至一些 VR 游戏测试。借助其强大的脚本语言和易于使用的界面,Airtest 让游戏测试变得更加简单而高效。它的核心优势是灵活性、易用性,以及与多种环境的兼容性,深受开发者和测试工程师的喜爱。在下面的章节中,我们将详细介绍 Airtest 的使用方法、亮点和好处,以及它对软件测试职业发展的影响。
使用Appium和Mitmproxy实现考研帮Python爬虫
Appium是一个用于移动应用自动化测试的开源工具,支持iOS、Android和Windows应用程序。它基于WebDriver协议,因此可以使用Selenium等工具与之交互。Appium允许用户通过编写自动化脚本来模拟用户在手机上的各种操作,...
软件测试的未来:如何跨越自动化到自主测试的鸿沟
ceshiren_com的博客
01-08 1099
近年来,随着人工智能(AI)的飞速发展,软件测试领域迎来了技术变革。从传统的手工测试自动化测试,再到如今炙手可热的自主测试测试技术正以前所未有的速度演进。然而,从自动化测试到自主测试,这一跨越不仅仅是技术上的进步,更需要行业对测试理念、方法论以及实践的全面升级。本文将深入探讨如何迈过这道鸿沟,迎接软件测试的未来。
Python 实现代理拦截http请求:mitmproxy
热门推荐
freeking101的博客
09-07 4万+
http抓包在 web 渗透上占据着非常重要的地位,这方面的工具也非常多,像 burp suite, Fiddler,Charles 每个都是搞 web 的必备神器。mitmproxy 是基于 python 编写定制脚本的代理拦截工具。anyproxy 是基于 JavaScript 编写定制脚本,功能与 mitmproxy 基本一致
python mitmproxy教程 详细教程+实战,教你怎么用
12-23
python mitmproxy教程 mitmproxy工作在HTTP层,可用于拦截数据,关键是还可以修改数据! 详细教程+实战,教你怎么用
游戏协议(二进制流协议)模拟工具
09-17
在有的网络开发需要走二进流制流协议场景,如网络游戏开发,一般的开发过程是客户端和服务端确定好网络协议后就分别开发。在开发过程中,写代码逻辑的时候,需要另一端发送协议过来跑一下逻辑,但可能另一端也在开发,不能完整发送协议。那么可以用本工具配置二进制流协议,模拟对端发送完整协议过来,触发正在开发逻辑模块,实现单步调试或单元测试等。 根据您的游戏协议规则,通过xml配置,让本工具模拟你的游戏协议向网络发送数据。
mitmproxy + python 实现游戏协议测试
Testerhomee的博客
02-09 1675
本文侧重介绍如何使用 pythonmitmproxy 实现拦截数据包、重发数据包,以及解析 protobuf 数据内容
Python好酷|抓包神器 mitmproxy
所寫即所思|一个阿里质量人对测试的所感所悟。
05-16 3519
mitmproxy(Man-in-the-middle attack,中间人攻击代理)是一款提供交互能力的抓包工具,可以用来拦截、修改、保存 HTTP/HTTPS 请求,对于爬虫尤其是基于APP的爬虫来说,是必不可少的一款神器。mitmproxy 基于Python开发,可以通过Python代码对请求和响应进行自定义过滤和修改。 1. 安装 mitmproxy安装 >> pip install mitmproxy >> mitmproxy --version M.
游戏协议测试
漫步云端的博客
04-15 2319
玩家挖掘游戏漏洞,造成严重线上事故,比如刷奖励 测试通过工具绕过客户端直接向服务端发送请求,挖掘服务端代码漏洞,也叫游戏协议安全测试
Python mitmproxy介绍及使用(代理拦截、浏览器代理)
墨痕诉清风的博客
01-25 1283
mitmproxy是一组工具,为HTTP/1、HTTP/2和WebSockets提供交互式的、支持SSL/TLS的拦截代理。官方文档地址。
计算机游戏自动化测试软件,自动化测试工具QuickTester
weixin_35922953的博客
06-22 1059
QuickTester是一款能够同时支持Win32、Web、Android和数据库的自动化测试工具;能够实现自动捕获、验证和重放用户的交互行为,将繁重的重复性测试工作通过自动化手段实现,极大的提升了测试人员的工作效率,降低了工作强度,同时为产品的快速迭代提供了测试层面的支持。使用QuickTester的目的是想用它来执行重复的自动化测试,主要是用于回归测试测试同一软件的新版本。因此你在测试前要考...
游戏自动化测试工具GAutomator上手
fsj794849819的博客
03-10 1711
自动化测试工具GAutomator
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值