¿Hay algún software gratuito para probar el servidor web? [cerrado]


8

Escribí propio servidor http. ¿Existe algún software gratuito, paquetes de prueba o conjunto de herramientas para validar si cumple total o parcialmente con HTTP 1.0 (rfc 1945)? Y además, sería genial si este software pudiera estimar el rendimiento de http y verificar posibles problemas de seguridad. Lo mismo se quiere de este software con respecto a la validación de cumplimiento FTP.


Notado en las respuestas a serverfault.com/questions/2107/… alguien ha sugerido OpenSTA. ¿Es capaz de realizar pruebas de conformidad?
pmod

Respuestas:


2

Muchas preguntas aquí. Si bien estoy seguro de que muchas personas le dirán que su herramienta hace todo si solo la compra, hay muy pocas herramientas disponibles que hagan un intento razonable de cualquiera de estas.

Por el lado de la seguridad de las cosas, en el supuesto de que sólo está interesado en el servicio de contenido estático, hay una lista de software útil aquí .

Para las pruebas de capacidad, puede usar ab que se envía con apache. También puede considerar la creación de scripts de interacciones más complejas utilizando loadrunner ($$$) o http :: Recorder y www :: mechanize

La mayoría de los grandes paquetes de software disponibles como código fuente vienen con scripts de prueba automáticos (generalmente un destino en el Makefile, por ejemplo, 'make test'), pero las instrucciones de compilación de Apache no mencionan esto; puede valer la pena descargar el src y configurarlo en vea si tiene scripts de prueba incluidos que podrían adaptarse.

En cuanto a las pruebas de rendimiento / monitoreo: IME actualmente no hay nada disponible que sea bueno (e incluyo el Control de cuadrícula de Oracle, BMC Patrol, Google Analytics y una gran cantidad de otros productos en la categoría 'no es bueno'). Personalmente, estoy usando una solución local que se basa en el registro muy detallado de la generación de URL (eche un vistazo a la opción mod_log_config% D y mod_log_firstbyte).

Un área que no he estudiado en profundidad es el monitoreo pasivo: existen herramientas como sin agente, pero estas son muy, MUY caras. PastMon puede cumplir con sus requisitos (es bueno y es gratis) pero necesitará hardware especializado y costoso para ejecutarlo si espera medir lo que sucede cuando su servidor web alcanza la saturación.

HTH

C.


¡Tu respuesta es la más completa!
pmod

2

Puede usar apachebench para las pruebas de rendimiento.


Correcto, es una herramienta de evaluación comparativa, pero estoy interesado más en la cobertura total de la implementación del servidor HTTP. ¡Gracias!
pmod

2

Esto es realmente un problema de programación, pero como tienes una recompensa por la pregunta, permanecerá aquí, al menos por ahora.

Hay muchos complementos de Firefox diseñados para probar y depurar, así que haz una búsqueda entre ellos para ver qué crees que es adecuado para ti. Por cuestiones de seguridad, hay muchas secuencias de comandos diferentes, pero debo advertirle que de las que he probado los resultados han sido inconsistentes e incluso contradictorios, por lo que tengo dos opiniones sobre su valor.

El problema más grande visto en cualquier software es el desbordamiento del búfer. Puede ser un verdadero dolor encontrarlos a veces, porque pueden estar en cualquier parte del código y, a menudo, no aparecerán en las pruebas automatizadas. Cuando comencé a programar para Windows, escribí un programa en el que el desbordamiento del búfer no se detectó durante más de dos años, a pesar de que el programa estaba en uso diario por varios miles de usuarios.


Estoy bastante seguro de que había redirigido aquí si estaba publicado en SO, así que lo he publicado aquí. Vería los complementos de Firefox, sin embargo, creo que están más centrados en el diseño web y las pruebas de diseño web. El punto principal de esta pregunta no es el análisis de código estático / tiempo de ejecución, sino comprender lo que perdí y deshice en mi implementación del servidor HTTP 1.0.
pmod

1
Cómo / si el código implementa los requisitos escritos cae directamente bajo el dominio de SO; por qué y cómo el código en una computadora interactúa con otra es SF. De todos modos, un programa que pruebe el cumplimiento de RFC seguramente sería bueno para mucho más que HTTP.
Chris S

@ Chris, me imagino que las pruebas de código, en cualquier forma que sea, es en gran medida una cosa del desarrollador, sysadmin.
John Gardeniers

2

No conozco una herramienta para probar el cumplimiento de HTTP RFC.

Para las pruebas de rendimiento, use apachebench como se menciona en topdog.

Para las pruebas de seguridad, puedo recomendar Nikto y el skipfish de Google . Aunque es más difícil de configurar, Nessus también es capaz.


0

Para la calidad del código (desbordamientos del búfer, etc.) puede usar http://www.coverity.com/ Han recogido tantos en programas de código abierto http://scan.coverity.com/index.html


El punto principal de esta pregunta no es el análisis de código estático / tiempo de ejecución, sino comprender lo que me perdí o que aún dejé sin hacer en mi implementación del servidor HTTP 1.0. ¡Gracias!
pmod

a menos que no entienda inglés, ¿qué significa esto "y comprobar si hay posibles problemas de seguridad y lo mismo para el servidor ftp"
topdog

Lo siento si algo no estaba claro; corregido
pmod

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.