Posted Updated 5 minutes read (About 771 words)0 visits

JMeter CSRF Token Website Login | Authorization

Đợt vừa rồi, mình có nhận được một task là test tải của hệ thống. Mình nghĩ ngay đến JMetter. Tuy nhiên các trang test tải lại cần đăng nhập mới vào được. Do đó, bài viết sẽ hướng dẫn sử dụng JMetter để vượt qua CSRF Token và vào các trang cần login trong Laravel!

Chúng ta biết Laravel có cơ chế CSRF Token cho các form. Khi bạn sử dụng trình duyệt, các token đã được sinh ra và truyền kèm theo các request. Bây giờ, ta cần làm điều đó trên JMetter.

Đầu tiên hãy mô tả các bước

  • Bạn vào GET trang /login
  • Bạn nhập các thông tin login, gồm username và password, gửi lên server qua POST /login. Dĩ nhiên là kèm theo _token
  • Khi login thành công, server sẽ trả về token (token này khác _token) và bạn sẽ lưu lại phía trình duyệt trong cookie và gửi lên cho mỗi request để không cần login lại

Chúng ta cần 3 HTTP Request để vượt qua rào login, và tất nhiên cần thêm một nơi lưu thông tin Cookie sau khi đăng nhập thành công!

Áp dụng cho JMetter

Như đã nói ở trên, chúng ta cần 3 HTTP Request, do đó việc đầu tiên sẽ là tạo 3 HTTP Request trong Thread Group của Jmetter. Tạo thêm một View Results Tree để ghi lai kết quả.

Giá trị _token sẽ được lấy từ GET /login và truyền sang POST /login để vượt qua CSRF Token. Để làm việc này, chúng ta sẽ sử dụng Regular Expression Extractor (Config Element) trong JMetter

Đặt thành phần này trong GET /login. Add => Config Element => Regular Expression Extractor

1
2
3
4
Name of created variable: token
Regular Expression: name="_token" value="(.+)"
Template: $1$
Match No 1

Thêm token này vào POST /login

Cuối cùng quan trọng, chúng ta cần một Cookie manager để lưu trạng thái login

Add => Config Element => HTTP Cookie Manager

Tóm lại chúng ta có các thành phần sau

  • HTTP Request: GET /login: Trang FE login, từ trang này sẽ lấy _token
    • Regular Expression Extractor: Token đã có trong HTML. Chúng ta dùng Component này và regex để lấy giá trị và gán vào biến token
  • HTTP Request: POST /login: Trang này lấy biến token từ request trên, thêm các thông tin username, passowrd để đăng nhập
  • HTTP Request: GET /dashboard: Trang test sau khi login
  • View Results Tree: Ghi lại kết quả chạy trong Thread
  • HTTP Cookie Manager: Quản lý Cookie tương tự trình duyệt cho các Request.

Run thôi :D

Tài liệu tham khảo

JMeter CSRF Token Website Login | Authorization

http://yoursite.com/2022/07/16/JMeter-CSRF-Token-Website-Login-Authorization/

Author

Ming

Posted on

2022-07-16

Updated on

2022-07-16

Licensed under

Like this article? Support the author with

Comments

Follow

Categories

Tags

API1
CI/CD3
Kanji6
Linux command line3
apache22
async programing3
authentication1
aws exam preparation1
aws labs9
aws-certificate44
clean comment1
clean error1
clean function2
collection8
configuration1
docker2
docker command1
docker compose file format1
docker-best-practice1
docker-compose.yml1
docker-instructions docker-best-practice1
docker-network1
docker-volume1
event1
event notification1
excelfile1
gcp1
git1
jquery-validation1
kubernetes1
mongoDB1
mysql2
naming1
note choi choi3
phpcs1
phpcs phpcsfixer1
process management1
react boilerplate1
regex1
requests1
stripe1
sudo command1
tips laravel1
tracking php script1
unit test4
validation1
vba1
vim1

Archives

Subscribe for updates

Catalogue

Recents

Links

×