关于接口的安全性测试,这几点你必须掌握

最新推荐文章于 2024-06-17 15:09:03 发布
最新推荐文章于 2024-06-17 15:09:03 发布
阅读量191 收藏 1
点赞数
分类专栏: 自动化测试实战 文章标签: 安全性测试 服务器 自动化测试 测试工程师 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HSS919/article/details/129804011
版权

01、接口防刷

1.为什么会有人要刷接口?

  • 牟利:黄牛在 12306 网上抢票再倒卖。

  • 恶意攻击竞争对手:如短信接口被请求一次,会触发几分钱的运营商费用,当量级大了也很可观。

  • 压测:用apache bench 做压力测试。

2.什么行为判定为刷接口?

  • 次数多

  • 频率频繁,可能 1 秒上千次

  • 用户身份难以识别:可能会在刷的过程中随时换浏览器或者 ip

3.如何判断用户粒度

根据当前网页

  • 缺点:没有任何意义,一刷新页面用户的身份就变了

根据session

  • 缺点:当用户手动清除 cookie 的时候即失效

根据ip

  • 优点:伪造成本高

  • 缺点:要考虑一个公司、一个小区的人一般会共享一个 ip,所以适当的要放宽对单一 ip 的请求限制

ip 信息是存在请求头里的,而 https 对请求本身做了加密,可以防止 ip 信息被伪造或篡改。所以推荐服务器采用https传输。

02、如何处理恶意请求

1. 业务逻辑上拒绝该用户参与

  • 例如限制用户登录,用户必须达到一定条件才可以(任务限制,金额限制,参与次数限制)

2.奖励发放的限制

  • 奖励每天发放次数限制,奖励每天发放总量限制,用户每天参与次数限制,用户每天获取总量限制

3.IP频率限制

通过 memcached 和 redis 都有成熟的方案。

Memcached教程:

https://www.runoob.com/memcached/memcached-tutorial.html

4. 验证码&短信限制

可以通过要求用户输入验证码or短信验证码验证用户真实性,但是也要保证短信接口不会被刷。

  • 优点:可以精准识别请求是真人还是机器发出的,二次筛选出真正的用户

  • 缺点:不够人性化,用户操作时间长、体验差

5.用户权限判断

基础的用户行为分析,就是结合业务逻辑,在代码实现层面对进行完善的用户权限判断。

从代码层次限制用户

6.防范XSS、CSRF、SQL注入攻击

这是常见的WEB接口安全防范手段,XSS、CSRF、SQL注入,对参数过滤转义,表单验证等等。

7.人工干预

以上方法需要结合使用才能提高安全和破解的难度,单独使用都有很容易破解的方法,除此之外,人工干预也是很重要的,一定要在后台观察数据,及时发现异常的数据并排查隐患。

如果你还有许多困惑,那么我整理的视频资源和文档会是你的良师益友,或许可以给你带来一些实际性的帮助与突破【保证100%免费】

程序员 小濠
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
接口测试
01-27
- **安全性评估**:接口是攻击者可能利用的入口点,测试能确保数据安全。 - **性能评估**:接口测试可以评估系统的负载承受能力和响应时间。 4. **接口报文介绍** 接口报文是接口通信中的数据载体,通常包含请求...
webservice接口测试工具
09-05
- **安全性测试**:检查接口是否对非法请求有适当的防御机制,如防止SQL注入、XSS攻击等。 - **兼容性测试**:确保接口在不同的操作系统、浏览器、设备上都能正常工作。 总之,“WebService接口测试工具”为测试...
接口测试系列之——接口安全测试
03-23 5762
Testerhome社区爱好者合力编写了《2021接口测试白皮书》,并于今年2月底发布。本文节选自其中的的「安全测试」章节。 “开源 Web 应用安全项目”(OWASP)在 2019 年发布了 API 十大安全风险 《OWASP API 安全 Top10》:失效的对象级别授权、失效的用户身份验证、过 度的数据暴露、资源缺乏和速率限制、失效的功能级授权、批量分配、安全配置 错误、注入、资产管理不当、日志和监视不足位列其中。我们以此为依据对 API十大安全风险进行介绍。 ▌失效的对象级别授权 失效的对.
网络安全中接口测试的解决方案
热门推荐
LiBai'S BLOG
12-06 1万+
接口即API:Application Programming Interface,即应用程序编程接口接口就是一个位于复杂系统之上并且能简化你的任务,它就像一个中间人让你不需要了解详细的所有细节。像谷歌搜索系统,它提供了搜索接口,简化了你的搜索任务。再像用户登录页面,我们只需要调用我们的登录接口,我们就可以达到登录系统的目的。接口测试是测试系统组件间的接口,主要用于检测外部系统与系统之间以及内部各个子系统之间的交互点。测试的重点是要检查接口参数传递的正确性,接口功能实现的正确性,输出结果的正确性,以及对各种
面试加分必看,11道接口安全测试面试题!
最新发布
06-17 753
数字化飞速发展,接口安全问题层出不穷,不仅关系到产品的稳定性,更关乎到用户的信息安全。今天,分享一些在面试中可能会遇到的接口安全测试面试问题,助你在面试中从容不迫。
接口安全性测试,应该从哪些方面入手?
软件自动化测试技术交流、资源分享
12-29 3047
Hi,大家好。我们在开展接口测试时也需要关注安全测试,例如敏感信息是否加密、必要参数是否进行校验。今天就给大家介绍接口安全性测试应该如何开展,文末附年终总结模板,需要年末汇报的童鞋们,走过路过不要错过。
关于接口安全性测试,这几点你必须掌握_服务端接口安全性测试
erthre的博客
04-12 1044
根据当前网页缺点:没有任何意义,一刷新页面用户的身份就变了根据session缺点:当用户手动清除 cookie 的时候即失效根据ip优点:伪造成本高缺点:要考虑一个公司、一个小区的人一般会共享一个 ip,所以适当的要放宽对单一 ip 的请求限制ip 信息是存在请求头里的,而 https 对请求本身做了加密,可以防止 ip 信息被伪造或篡改。所以推荐服务器采用https传输。例如限制用户登录,用户必须达到一定条件才可以(任务限制,金额限制,参与次数限制)
接口安全测试
ada4656的博客
08-25 168
(1)描述:在一个产品中,一个正常的用户A通常只能够编辑自己的信息,别人的信息无法查看或者只能查看的权限,但是由于程序不校验用户的身份,A用户更改自己的id值就进入了B用户的主页,可以查看、修改B用户的信息,这种漏洞我们就将其称之为越权漏洞。(1)描述:利用XSS的攻击者进行攻击时会向页面插入恶意Script代码,当用户浏览该页面时,嵌入在页面里的Script代码会被执行,从而达到攻击用户的目的。(1)描述:CSRF是一种对网站的恶意利用,过伪装来自受信任用户的请求来利用受信任的网站。
inteTest自己改写的接口测试工具
06-16
在实际应用中,使用inteTest进行接口测试时,还要注意以下几点: 1. 测试环境隔离:确保测试不会影响生产环境,使用独立的测试数据和配置。 2. 协调团队协作:与其他开发人员、测试人员沟通,确保测试覆盖所有重要的...
接口自动化测试的根基--HTTP协议
11-12
接口自动化测试中,我们需要对HTTP协议的以下几个关键点有深入的理解: 1. 请求方法:HTTP请求主要包括GET、POST、PUT、DELETE等方法,每种方法对应不同的操作。GET用于获取资源,POST用于提交数据,PUT用于更新...
(精品word)软件测试知识点总结(良心出品必属精品).doc
11-13
测试不仅关注功能正确性,还涉及系统兼容性、性能、安全性等多个方面。 软件测试的分类主要有以下几种方式: 1. 按开发阶段划分: - 单元测试:针对代码模块进行的测试,确保每个模块功能正确。 - 集成测试:将...
接口测试之功能测试,性能测试,安全测试
小宝的宝呢的博客
04-04 5877
目录 一,功能测试 1,单接口功能 手工测试中的单个业务模块,一般对应一个接口 借助工具,代码。绕开前端界面,组织接口所需要的数据,展开接口测试。 2,业务场景功能 二,性能测试 1,响应时长 2,吞吐量 3,并发熟练 4,服务器资源利用率 三,安全性测试 1,攻击安全 2,业务安全 一,功能测试 1,单接口功能 手工测试中的单个业务模块,一般对应一个接口 例如: 登录业务------登录接口 加入购物车业务------加入购物车接口 订单业务------订单.
API接口安全测试方法大全(附一键化扫描工具)
2302_76672693的博客
06-27 3915
API接口安全测试方法大全(附一键化扫描工具)
软件测试常用测试用例之接口安全测试
qq_37772593的博客
05-09 856
1.应该做到对所有的 API、他们的用途和版本进行严格的盘点。在创建功能和资源级别时,用户应该只被赋予做它们需要的事情的权限,实践最小权限的方法,批量分配,如果可能,请避免使用将客户输入自动绑定到代码变量或内部对象中的函数。1.不要以拦客户端来过滤敏感数据检查API的响应,确认其中仅包含合法数据,停止用通用API向用户发送一切的过程(必须避免将所有信息直接执行toString(),to_json(),然后发送给客户端,只选择返回给授权用户的属性,并专门发送这些信息)对于敏感数据应使用加密技术进行保护。
致我们曾经遇到过的接口问题
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
06-28 1366
我们日常的接口测试工作主要是验证接口的功能性(入参、出参、边界值等),沐沐在接口测试过程中遇到的一些接口安全性的问题,整理成了通用的测试点,不一定适用于全部的产品,仅做参考。验证登录接口中密码是否密文传输这个测试点听起来很荒唐,应该大家都知道密码应该加密,但是在很多时候,研发人员为了赶工就会忽略这个点,所以建议大家测试登录功能的时候,一定要F12查看一下登录接口中密码是否是密文。验证登录接口是否可以爆破登录对于一些安全性较高的系统,测试的时候有必要验证一下是否可以爆破登录,可以使用Burpsuit进行爆破登
接口测试实践与常见问题探讨
2. 接口测试流程介绍:接口测试流程一般包括以下几个步骤:接口需求分析、测试用例设计、测试数据准备、接口调用执行、结果验证、缺陷管理以及测试报告编写。在每个阶段,都需要深入理解接口的业务逻辑和数据格式,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值