Existe-t-il un logiciel gratuit pour tester le serveur Web? [fermé]


8

J'ai écrit mon propre serveur http. Existe-t-il des logiciels gratuits, des packages de test ou des outils pour vérifier s'ils sont entièrement ou partiellement conformes à HTTP 1.0 (rfc 1945)? De plus, ce serait génial si ce logiciel pouvait estimer les performances http et vérifier les problèmes de sécurité potentiels. La même chose est attendue de ce logiciel en ce qui concerne la validation de la conformité FTP.


Remarqué dans les réponses à serverfault.com/questions/2107/… quelqu'un a suggéré OpenSTA. Est-il capable de tester la conformité?
pmod

Réponses:


2

Beaucoup de questions ici. Bien que je sois sûr que beaucoup de gens vous diront que leur outil fait tout si vous l'achetez, il y a très peu d'outils disponibles qui font une tentative raisonnable pour l'un d'entre eux.

Pour la sécurité, en supposant que vous ne souhaitez diffuser du contenu statique, il existe une liste de logiciels utiles ici .

Pour les tests de capacité, vous pouvez utiliser ab qui est livré avec apache. Vous pouvez également envisager de créer des scripts pour des interactions plus complexes à l'aide de loadrunner ($$$) ou http :: Recorder et www :: mechanize

La plupart des gros progiciels disponibles en tant que code source sont livrés avec des scripts de test automatique (généralement une cible dans le Makefile, par exemple «make test») mais les instructions de construction d'Apache ne le mentionnent pas - cela pourrait valoir la peine de télécharger le src et de le configurer pour voir s'il contient des scripts de test qui pourraient être adaptés.

En ce qui concerne les tests / la surveillance des performances - IME, il n'y a actuellement rien de disponible qui soit bon (et j'inclus Oracle Grid Control, BMC Patrol, Google Analytics et un grand nombre d'autres produits dans la catégorie `` pas bon ''). Personnellement, j'utilise une solution maison qui repose sur une journalisation très détaillée de la génération d'URL (jetez un œil à l'option mod_log_config% D et mod_log_firstbyte).

Un domaine que je n'ai pas étudié en profondeur est la surveillance passive - il existe des outils comme Vantage sans agent, mais ceux-ci sont très, TRÈS coûteux. PastMon peut répondre à vos besoins (c'est bon et c'est gratuit) mais vous allez avoir besoin de matériel spécialisé et coûteux pour l'exécuter si vous prévoyez de mesurer ce qui se passe lorsque votre serveur Web atteint la saturation.

HTH

C.


Votre réponse est la plus complète!
pmod

2

Vous pouvez utiliser apachebench pour les tests de performances.


C'est un outil d'analyse comparative, mais je suis plus intéressé par la couverture complète de l'implémentation du serveur HTTP. Je vous remercie!
pmod

2

C'est vraiment un problème de programmation, mais comme vous avez une prime sur la question, cela restera ici, au moins pour l'instant.

Il existe de nombreux modules complémentaires Firefox conçus pour les tests et le débogage, alors lancez une recherche parmi ceux-ci pour voir ce que vous pensez être approprié pour vous. Pour les problèmes de sécurité, il existe de nombreux scripts différents, mais je dois vous avertir que pour ceux que j'ai essayés, les résultats ont été incohérents et même contradictoires, donc je suis de deux avis quant à leur valeur.

Le plus gros problème rencontré dans n'importe quel logiciel est le débordement de tampon. Ils peuvent parfois être très difficiles à trouver, car ils peuvent être n'importe où dans le code et n'apparaissent souvent pas dans les tests automatisés. Lorsque j'ai commencé à programmer pour Windows, j'ai écrit un programme dans lequel un dépassement de mémoire tampon n'a pas été détecté pendant plus de deux ans, même si le programme était utilisé quotidiennement par plusieurs milliers d'utilisateurs.


Je suis presque sûr d'avoir redirigé ici s'il était publié dans SO, alors je l'ai publié ici. Je regarderais les modules complémentaires de Firefox, mais je pense qu'ils sont plus axés sur la conception Web et les tests de mise en page Web. Le point principal de cette question n'est pas l'analyse de code statique / runtime mais la compréhension de ce que j'ai manqué et annulé dans mon implémentation du serveur HTTP 1.0.
pmod

1
Comment / si le code implémente les exigences écrites relève directement du domaine de SO; pourquoi et comment le code sur un ordinateur interagit avec un autre est SF. Quoi qu'il en soit, un programme qui teste la conformité RFC serait bien plus que HTTP.
Chris S

@Chris, je pense que le test de code, sous quelque forme que ce soit, est vraiment une affaire de développement, sot sysadmin.
John Gardeniers

2

Je ne connais pas d'outil pour tester la conformité HTTP RFC.

Pour les tests de performances, utilisez apachebench comme topdog mentionné.

Pour les tests de sécurité, je peux recommander Nikto et le skipfish de Google . Bien que plus difficile à configurer, Nessus est également capable.


0

Pour la qualité du code (débordements de tampon, etc.), vous pouvez utiliser http://www.coverity.com/ Ils en ont ramassé tellement dans les programmes open source http://scan.coverity.com/index.html


Le point principal de cette question n'est pas l'analyse de code statique / runtime mais la compréhension de ce que j'ai manqué ou encore laissé de côté dans mon implémentation du serveur HTTP 1.0. Je vous remercie!
pmod

à moins que je ne comprenne pas l'anglais, qu'est-ce que cela signifie "et vérifiez les problèmes de sécurité potentiels et la même chose pour le serveur ftp"
topdog

Désolé si quelque chose n'était pas clair; corrigée.
pmod

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.