Man-in-the-Middle в тестировании: инструмент или угроза?

Использование Man-in-the-Middle в тестировании ПО – это как хирургический скальпель: в руках профессионала он спасает жизни, но в чужих руках может стать оружием. Важно чётко понимать, где проходит граница между благонамеренными действиями тестировщика и начинается злоупотребление своими профессиональными навыками. Руководитель отдела тестирования NGR Softlab Денис Исангулов в своей статье для Cyber Media разбирает, где проходит красная линия.

В данной статье мы рассмотрим этику и границы использования MITM, а также практическое применение в тестировании ПО.

Цель оправдывает метод, но только если речь идёт о санкционированном тестировании уязвимостей, подмене или модификации ответов от сторонних систем в реальном времени, а не о скрытом вмешательстве в чужой трафик: никаких «проверок ради интереса» без согласия владельца системы. Главное осознавать, что важна прозрачность: профессионал действует по заранее согласованным сценариям, фиксирует риски и сразу сообщает о них, а не скрывается, как злоумышленник, и не использует находки в личных целях. Главное правило – не навреди. Во время тестирования реальных продовых систем запрещено копировать, изменять или удалять данные, можно только имитировать угрозу.

Если система тестовая, не содержит конфиденциальной информации и использует маскированные данные, пространство для манёвра у тестировщика расширяется. В таких условиях допустимы более агрессивные сценарии, включая глубокий анализ и модификацию данных, но только в рамках утверждённого плана тестирования. Однако даже здесь действует принцип минимального воздействия, любые изменения должны быть обратимы, а их последствия предсказуемы.

Перед тем как перейти к практическому применению MITM в тестировании начнем с небольшого обзора популярных инструментов.

Burp Suite – «швейцарский нож» тестировщика. Позволяет перехватывать, модифицировать и повторно отправлять HTTP-запросы. Особенно полезен при тестировании веб-приложений, с помощью него можно подменять куки, воровать сессии, проверять уязвимости CSRF и XSS.

Mitmproxy – гибкий прокси-сервер с открытым исходным кодом. Подходит для анализа и модификации трафика в реальном времени. Хорош тем, что работает из консоли и легко автоматизируется, что делает его удобным для интеграции в CI/CD.

Wireshark – классика для глубокого анализа сетевого трафика. Не такой удобный для оперативного вмешательства, как Burp Suite или mitmproxy, зато позволяет увидеть всё, от DNS-запросов до TLS-рукопожатий. Незаменим, когда нужно разобраться, что именно передаётся «под капотом».

В нашей компании NGR Softlab мы активно используем все три инструмента, так как каждый из них эффективен на разных этапах тестирования и выбор зависит от конкретной задачи.

С ростом числа кибератак особую опасность представляют кражи паролей пользователей. В этом контексте важно проверить, что пароль не передаётся в открытом виде в запросах на примере работы с mitmproxy, так как инструмент лежит в свободном доступе.

Установим mitmproxy на сервер:

sudo apt update

sudo apt install mitmproxy -y

Далее представлен примерный скрипт для проверки пароля (check_password.py):

from mitmproxy import http

def request(flow: http.HTTPFlow) -> None:

# Проверяем URL и тело запроса на наличие пароля в открытом виде

if flow.request.content:

request_data = flow.request.text# Автоматическая декодировка

if "password" in request_data.lower():

print("⚠️ Обнаружено поле 'password' в запросе")

# Можно добавить проверку на открытый текст (например, если нет хеша/шифра)

if "pass" in request_data.lower() and not ("hash" in request_data or "encrypt" in request_data):

print("Возможно пароль передан в открытом виде")


Инициируйте прокси-сервер со скриптом проверки пароля:

mitmproxy -s check_password.py

Выполните процедуру логирования в тестовую среду через веб-интерфейс.


Ожидаемый результат:

• Пароль не должен встречаться в открытом виде (например, "password":"qwerty123").

• Вместо этого должны использоваться хеши, токены или шифрование.

Этот пример сокращён до минимума, но сохраняет суть проверки безопасности передачи паролей.