Перейти на PRO

Опишите ваш практический опыт работы с прокси-отладчиком Charles.

Тип вопроса: Инструменты тестирования Вероятность: 24% Категория: QA Тестировщик

Ответ

Использовал Charles Proxy для анализа, отладки и тестирования сетевого трафика веб- и мобильных приложений.

Ключевые сценарии применения:

  1. Анализ API-трафика (REST/GraphQL/WebSocket):

    • Просмотр структуры запросов и ответов в реальном времени.
    • Проверка корректности заголовков, параметров и тела запроса.
    • Анализ кодов состояния HTTP и времени отклика.

  2. Мокирование и подмена ответов (Stubbing/Mocking):

    • Map Local: Подмена ответа сервера локальным файлом (JSON/XML) для тестирования различных сценариев (успех, ошибка, пустые данные). Практический пример: Замена ответа /api/products на файл empty_response.json для проверки обработки пустого списка в UI.
    • Rewrite: Динамическое изменение частей запроса или ответа (например, подмена status_code с 200 на 500).

  3. Отладка проблем:

    • Поиск лишних или отсутствующих запросов.
    • Анализ загрузки ресурсов (Waterfall view) для выявления «узких» мест.
    • Проверка корректности кэширования.

  4. Тестирование мобильных приложений:

    • Настройка устройства на работу через прокси Charles.
    • Установка SSL-сертификата Charles для расшифровки HTTPS-трафика.
    • Перехват трафика из эмуляторов и реальных устройств.

Пример настройки Breakpoint для изменения запроса:

  1. В Charles находим нужный запрос (например, POST /api/login).
  2. Правой кнопкой → Breakpoints.
  3. При срабатывании брейкпоunta можно:
    • В закладке Edit Request изменить тело запроса (подставить невалидный пароль).
    • В закладке Edit Response подменить ответ сервера (например, вернуть {"error": "Account locked"}).

Важно: Для работы с HTTPS необходимо доверять корневому сертификату Charles на тестовом устройстве/в эмуляторе.

Ответ 18+ 🔞

О, слушай, смотри, я тут недавно с Чарльзом этим, с прокси-сервером, баловался. Ну, это такая штука, которая весь твой сетевой трафик, как на ладони, показывает. Веб-сайты, мобильные приложения — всё, что по HTTP/HTTPS ползает, он ловит и раскладывает по полочкам. Просто пиздец какой полезный инструмент, если ты не ленивая жопа.

И чем же он, блядь, так хорош?

  1. API-трафик ковырять. Сидишь, смотришь, как твоё приложение с сервером перешёптывается. Какие запросы шлёт, какие ответы получает. Все эти твои REST, GraphQL, WebSocket'ы — всё как на рентгене. Видно каждый заголовок, каждый параметр, каждую цифру в JSON'е. И главное — если сервер плюёт тебе в душу ошибкой 500, ты сразу видишь, где и что пошло не так. Время отклика меряешь — сразу понятно, кто тут тормоз, фронт или бэк.

  2. Подменять ответы, как душе угодно (Stubbing/Mocking). Вот это, блядь, самая мощная фича. Сервер упёрся рогом и не хочет отдавать тебе пустой список товаров? А тебе надо проверить, как твой интерфейс на это отреагирует? Map Local тебе в помощь! Берёшь и говоришь Чарльзу: «Слышь, падла, как только приложение запросит /api/products, ты не ходи на сервер, а суй ему вот этот мой файлик empty_products.json». И всё! Приложение получило пустой ответ, и ты смотришь, не разъебывается ли твой UI. Можно и ошибки симулировать, и любые данные подсовывать. Rewrite — тоже годная штука, чтобы на лету, например, status_code с 200 на 404 поменять. Ёпта, власть чувствуешь, будто бог сервера!

  3. Искать косяки и бутылочные горлышки. Приложение грузится, как последняя кобыла в гору? Открываешь в Чарльзе вкладку Waterfall и видишь всю цепочку загрузки. Ага, этот ёбаный скрипт в 300 килобайт качается 5 секунд, а картинка с котиком вообще не кэшируется и грузится каждый раз. Пиздец, да тут всё понятно, где оптимизировать.

  4. Мобилки тестировать. Думаешь, он только для браузера? Хуй там! Настраиваешь на телефоне или в эмуляторе прокси на комп с Чарльзом, ставишь его корневой сертификат (об этом ниже) — и вуаля, весь трафик с твоего айфона или андроида течёт прямиком в Чарльз. Видишь, какие запросы шлёт нативное приложение, какие рекламные SDK там втихую стучатся на свои сервера. Незаменимая вещь, ебать мои старые костыли.

Вот тебе живой пример, как запрос сломать: Допустим, тебе надо проверить логин с неправильным паролем.

  1. В Чарльзе находишь запрос POST https://api.site.com/login.
  2. Жмёшь на нём правой кнопкой и выбираешь Breakpoints.
  3. Теперь, когда приложение попытается залогиниться, Чарльз его остановит, как милиционер пьяного водителя.
  4. Откроется окошко, и там в закладке Edit Request ты можешь в теле запроса поменять пароль "superSecret123" на "wrongPassword" и нажать Execute.
  5. Или, что ещё веселее, можно в закладке Edit Response вообще не ждать ответа сервера, а самому нарисовать, например, {"error": "Аккаунт заблокирован, иди нахуй"}, и отправить это приложению. Смотришь, как оно обосрётся. Весело, правда?

ВАЖНОЕ ПРЕДУПРЕЖДЕНИЕ, ЧТОБЫ НЕ ОХУЕТЬ: Для того чтобы Чарльз мог читать HTTPS-трафик (а он весь сейчас HTTPS), ему нужно, чтобы ты установил и доверился его корневому сертификату на своём тестовом устройстве (телефоне, эмуляторе). Без этого он будет видеть только шифрованный мусор. Настроек немного, гуглится за пять минут, но это обязательный шаг, иначе нихуя не получится.

© ХакСобесов, 2026
support@hacksobesov.com