《安全与接口测试》由会员分享,可在线阅读,更多相关《安全与接口测试(15页珍藏版)》请在金锄头文库上搜索。
1、厦门云层天咨软件技术有限公司 Xiamen cloudits Consulting Software Technology Co. Ltd.接口与安全测试云层厦门云层天咨软件技术有限公司 Xiamen cloudits Consulting Software Technology Co. Ltd.什么是接口测试 接口是指系统模块与模块或系统与系统间进行交互,一般我们用的多 的是HTTP协议的接口、WebService协议的接口,还有RPC(Remote Procedure Call Protocol)远程过程调用协议的接口。 不管是哪种接口,其本质就是发送一个request,然后服务器响应后返
2、 回一个response,然后我们对response进行分析,这即是接口测试。 1.接口测试用例 2.接口报文及接口地址厦门云层天咨软件技术有限公司 Xiamen cloudits Consulting Software Technology Co. Ltd.接口测试工具及原理 常见接口测试工具 典型商业工具:loadrunner,soapui 典型开源工具:jmeter jsoup httpclient python中的urllib2,urllib库 扩展插件:Poster、POSTMAN 接口测试与抓包 协议原理 协议捕获(Firebug、Fiddler、Httpwatch) 协议变更 (
3、Poster、PostMan) 接口测试工具的选择厦门云层天咨软件技术有限公司 Xiamen cloudits Consulting Software Technology Co. Ltd.接口与安全 病从口入 看起来很干净的东西未必吃下去就安全 而食品安全就是要确保入口的安全 外部的安全并不能有效确保安全 过期的食品 加工不当的食品厦门云层天咨软件技术有限公司 Xiamen cloudits Consulting Software Technology Co. Ltd.安全攻击 安全攻击的方式很有多 钓鱼 网络监听 注入 厦门云层天咨软件技术有限公司 Xiamen cloudits Cons
4、ulting Software Technology Co. Ltd.接口安全注入 UI经常会限制我们输入某些内容 跳过接口的UI往往毫无防备 这里以SQL Inject为例来演示注入厦门云层天咨软件技术有限公司 Xiamen cloudits Consulting Software Technology Co. Ltd.前端页面企业人事管理系统企业人事管理系统用户名:密码:厦门云层天咨软件技术有限公司 Xiamen cloudits Consulting Software Technology Co. Ltd.后端页面lst; if ($lst0) echo $uname.“success“
5、; $_SESSIONloginuser=$uname; echo “; echo “window.location.href=“online.php“;“; echo “; else session_unset(); session_destroy(); echo “fail“; ?厦门云层天咨软件技术有限公司 Xiamen cloudits Consulting Software Technology Co. Ltd.注入原理 让输入的内容成为被执行的一部分select count(*) as lst from user where username=abc and password=20
6、2cb962ac59075b964b07152d234b70参数username输入abc 参数password输入123厦门云层天咨软件技术有限公司 Xiamen cloudits Consulting Software Technology Co. Ltd.界面注入&接口注入 界面注入效率底且屏蔽较多 接口注入快捷 判断接口 测试输入 根据返回判断逻辑 安全注入的难度在于猜测服务端逻辑厦门云层天咨软件技术有限公司 Xiamen cloudits Consulting Software Technology Co. Ltd.注入成功 根据服务器返回可以了解服务器逻辑(测试环境) 改变输入检测
7、是否存在可能的漏洞 输入就是测试用例 输入的构建厦门云层天咨软件技术有限公司 Xiamen cloudits Consulting Software Technology Co. Ltd.Burpsuite实现注入 拦截请求 构建攻击 准备数据 收获结果厦门云层天咨软件技术有限公司 Xiamen cloudits Consulting Software Technology Co. Ltd.最近课程移动应用性能一期 1月16日 接口测试(课程升级)二期 1月24日 性能测试精讲班三期(课程升级) 2月下旬 自动化课程系列三期(体系升级) 3月中旬云层测试技术交流中心(主群) 87258422
8、接口测试交流群 482506386 Web自动化交流群 415613965 手机端自动化交流群 315872751 性能测试交流分群 432340833 福建软件测试交流中心 298522711 性能测试进阶指南云端 243771258厦门云层天咨软件技术有限公司 Xiamen cloudits Consulting Software Technology Co. Ltd.云层的作品-百度阅读搜索云层厦门云层天咨软件技术有限公司 Xiamen cloudits Consulting Software Technology Co. Ltd.千里之外也能获得 专业的培训指导!为学校构建适应企 业的课程体系!为企业培养定制化 人员!
