对于接口的安全性测试,这几点你掌握了吗?

于 2024-05-16 14:49:19 发布
阅读量364 收藏 7
点赞数 3
分类专栏: 软件测试 接口测试 自动化测试 文章标签: 安全性测试 测试工具 自动化测试 测试工程师 软件测试 测试用例 接口测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HSS919/article/details/138961319
版权

01、接口防刷

1.为什么会有人要刷接口?

  • 牟利:黄牛在 12306 网上抢票再倒卖。

  • 恶意攻击竞争对手:如短信接口被请求一次,会触发几分钱的运营商费用,当量级大了也很可观。

  • 压测:用apache bench 做压力测试。

2.什么行为判定为刷接口?

  • 次数多

  • 频率频繁,可能 1 秒上千次

  • 用户身份难以识别:可能会在刷的过程中随时换浏览器或者 ip

3.如何判断用户粒度

根据当前网页

  • 缺点:没有任何意义,一刷新页面用户的身份就变了

根据session

  • 缺点:当用户手动清除 cookie 的时候即失效

根据ip

  • 优点:伪造成本高

  • 缺点:要考虑一个公司、一个小区的人一般会共享一个 ip,所以适当的要放宽对单一 ip 的请求限制

ip 信息是存在请求头里的,而 https 对请求本身做了加密,可以防止 ip 信息被伪造或篡改。所以推荐服务器采用https传输。

现在我也找了很多测试的朋友,做了一个分享技术的交流群,共享了很多我们收集的技术文档和视频教程。
如果你不想再体验自学时找不到资源,没人解答问题,坚持几天便放弃的感受
可以加入我们一起交流。而且还有很多在自动化,性能,安全,测试开发等等方面有一定建树的技术大牛
分享他们的经验,还会分享很多直播讲座和技术沙龙
可以免费学习!划重点!开源的!!!
qq群号:691998057【暗号:csdn999】

02、如何处理恶意请求

1. 业务逻辑上拒绝该用户参与

  • 例如限制用户登录,用户必须达到一定条件才可以(任务限制,金额限制,参与次数限制)

2.奖励发放的限制

  • 奖励每天发放次数限制,奖励每天发放总量限制,用户每天参与次数限制,用户每天获取总量限制

3.IP频率限制

通过 memcached 和 redis 都有成熟的方案。

Memcached教程:

https://www.runoob.com/memcached/memcached-tutorial.html

4. 验证码&短信限制

可以通过要求用户输入验证码or短信验证码验证用户真实性,但是也要保证短信接口不会被刷。

  • 优点:可以精准识别请求是真人还是机器发出的,二次筛选出真正的用户

  • 缺点:不够人性化,用户操作时间长、体验差

5.用户权限判断

基础的用户行为分析,就是结合业务逻辑,在代码实现层面对进行完善的用户权限判断。

从代码层次限制用户

6.防范XSS、CSRF、SQL注入攻击

这是常见的WEB接口安全防范手段,XSS、CSRF、SQL注入,对参数过滤转义,表单验证等等。

7.人工干预

以上方法需要结合使用才能提高安全和破解的难度,单独使用都有很容易破解的方法,除此之外,人工干预也是很重要的,一定要在后台观察数据,及时发现异常的数据并排查隐患。

下面是配套资料,对于做【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴我走过了最艰难的路程,希望也能帮助到你!

最后: 可以在公众号:程序员小濠 ! 免费领取一份216页软件测试工程师面试宝典文档资料。以及相对应的视频学习教程免费分享!,其中包括了有基础知识、Linux必备、Shell、互联网程序原理、Mysql数据库、抓包工具专题、接口测试工具、测试进阶-Python编程、Web自动化测试、APP自动化测试、接口自动化测试、测试高级持续集成、测试架构开发测试框架、性能测试、安全测试等。

如果我的博客对你有帮助、如果你喜欢我的博客内容,请 “点赞” “评论” “收藏” 一键三连哦!

程序员 小濠
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一文详解Python中的SQL
weixin_68789096的博客
01-20 1965
5.SQL语言的分类:数据库管理系统功能很多,不仅是储存数据,还包含:数据的管理,表的管理,库的管理,账户管理,权限管理等等。来查看有哪些数据库。总体可以分为三个层次:库,表,数据;数据库与SQL是相辅相成的,数据库是用来存储数据的,而在这个过程中会涉及到:数据的增删,数据的删除,数据的修改,数据的查询和数据库数据表的管理。2.数据库:数据包含数据的存储和数据的计算,目前所学习的python编程语言就可归纳为数据计算这一类的,在个人开发或企业中我们一般使用数据库来存储数据,那么数据库又是如何存储数据的呢?
JAVA面试题最全集
03-13
1.Web安全性的考虑(表单验证、浏览器Basic方式的验证,应用程序的安全性,SSL,代码考虑) 2.简单介绍您所了解的MVC。 3.简单介绍所了解的XML。 4.文档和编码规范 5.Java中的分页、效率考虑。 6.简单介绍您所...
Python与SQL数据库交互基础及最佳实践——linux实践教程
m0_57781768的博客
01-01 834
PySQL并不是Python生态系统中标准或广泛认可的库。然而,为了本文的目的,让我们将“PySQL”作为一个术语,表示在Linux系统上使用Python进行SQL数据库交互。Python具有强大的库,如sqlite3PyMySQLpsycopg2(用于PostgreSQL)等,可用于执行SQL命令和管理数据库。这种集成允许自动化数据库任务、数据分析和服务器端脚本编写。对Linux操作系统的基本了解,包括命令行技能、文件系统层次结构的理解以及软件包管理,都是有益的。
Python接口自动化框架
qq_37754459的博客
10-14 1275
【代码】Python接口自动化框架。
python中使用sql语句
weixin_68261599的博客
09-10 1594
增删改查的四种功能在pymysql中可以分为两种,一种是有返回值的,另一种是没有返回值的,如果想要实现另外的两个删和改的话直接在上面的,对象.execute("xxxxxxx")语句中编写sql,执行即可。如果不写conn.select _db,可以像是上面的代码一样,写出来要在哪个库下创建什么名字的表,反之,如果写了conn.select_db可以将上面代码中的指定test库进行省略不写。将上面的语句添加进去执行,可以发现他返回的是一个一个的元组,一个元组对应的是数据库里面的一行。
pytest接口自动化测试框架搭建的全过程
软件测试技术交流分享
12-05 157
Pytest目前已经成为Python系自动化测试必学必备的一个框架,网上也有很多的文章讲述相关的知识。最近自己也抽时间梳理了一份pytest接口自动化测试框架,因此准备写文章记录一下,做到尽量简单通俗易懂,当然前提是基本的python基础已经掌握了。如果能够对新学习这个框架的同学起到一些帮助,那就更好了~
左右来回循环的流水灯实验报告.doc
10-07
在设计流水灯系统时,我们需要考虑以下几点: * 流水灯的左右来回循环运动需求 * 单片机的选择和编程 * 硬件电路设计 * 系统的可靠性和稳定性 课程设计目的 本实验的目的是设计一个左右来回循环的流水灯系统,...
软件工程课程设计——餐厅点餐系统.doc
10-16
在软件工程课程设计——餐厅点餐系统中,需要注意以下几点: 1. 需求分析是软件开发的基础,需要对业务需求进行深入分析。 2. 系统设计需要考虑到系统的可扩展性、可维护性和可靠性。 3. 数据库设计需要考虑到数据...
软件工程课程设计-校园停车场管理系统软件设计说明书.docx
11-29
在这门课程中,学生需要通过团队合作和实践项目,学习软件工程的基本原则和方法,并掌握软件设计、开发和测试的技能。 校园停车场管理系统 校园停车场管理系统是一个典型的软件工程项目,旨在设计和开发一个管理...
基于Android智能家居系统花卉App设计--毕业设计.docx
07-11
该系统的设计和实现主要分为几个部分:系统功能分析、环境和质量要求、系统软、硬件体系结构模型的建立、功能模块设计和数据接口的对接、测试环境和测试方案的确定等。 在系统设计中,采用了MVP架构模式,MVP模式是...
py-sql.zip
10-20
PyCharm安装Flask-SQLAlchemy失败后手动安装 SQLAlchemy及Flask-SQLAlchemy离线安装包
Python基础教程:整合MySQL数据库
程序员小麦的博客
12-18 1172
Python数据库编程可以使用多种模块与API,例如SQLite、MySQL、PostgreSQL等。本教程将重点介绍使用Python连接MySQL数据库进行编程。MySQL是一种常见的关系型数据库,我们可以使用Python的PyMySQL模块与MySQL进行交互。在此之前,我们可以使用安装插件。安装完成后,即可引入pymysql实现数据库操作。在python中操作数据库,可以说只需按部就班就行了。
以两分钟了解Python之SQLAlchemy框架的使用
weixin_43740011的博客
05-03 560
这就是SQLAlchemy的基本使用方法。使用SQLAlchemy可以帮助开发人员更轻松地管理数据库连接和操作数据。如果你还没有尝试过SQLAlchemy,现在就可以开始学习并尝试使用它来开发你的下一个Python应用程序。
三天搞定Pytest接口自动化测试框架搭建项目实战全套教程【高启强推荐】
分享测试知识
03-26 1323
软件测试
Pytest 教程:从 0 到 1 搭建 Pytest 接口自动化测试项目_pytest新建项目(1)
最新发布
m0_62289956的博客
04-10 847
人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
python selenium加载浏览器的配置文件
qq_36864252的博客
08-01 258
option.add_argument(r'--user-data-dir=C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data') # 设置成用户自己的数据目录。path = (C:\Users\Lenovo\AppData\Roaming)# 设置成用户自己的数据目录。#配置文件路径 谷歌浏览器。#配置文件路径 火狐浏览器。
0基础和我学python----SQLAlchemy框架(1)
奇点
08-15 1178
ModelBase = declarative_base() #
Pytest测试框架搭建需求及实现方案
MXB_1220的博客
12-20 927
!那么在这里我也精心准备了软件测试自动化测试的详细资料包含:电子书,简历模块,各种工作模板,面试宝典,自学项目等。需要的点击下方名片加入群聊免费领取。群里还有许多大佬帮忙解答问题。
pysql数据库存入的万能语句
mjp_erhuo的博客
08-01 1646
# Define your item pipelines here # # Don't forget to add your pipeline to the ITEM_PIPELINES setting # See: https://doc.scrapy.org/en/latest/topics/item-pipeline.html import pymysql class HaodPipe...
银行测试工程师面试题
03-20
银行测试工程师面试题通常涵盖以下几个方面: 1. 银行业务知识:了解银行的基本业务流程、产品和服务,例如开户、存款、贷款、支付等。同时,还需要了解相关的法律法规和合规要求。 2. 测试基础知识:包括软件测试的基本概念、测试方法和技术,例如测试计划、测试用例设计、缺陷管理等。此外,还需要了解自动化测试和性能测试等相关知识。 3. 银行系统测试:了解银行系统的特点和测试需求,例如核心银行系统、支付系统、风险管理系统等。掌握测试银行系统的方法和技巧,包括功能测试接口测试安全性测试等。 4. 数据处理和数据分析:银行业务涉及大量的数据处理和数据分析,因此需要具备相关的数据处理和数据分析能力。例如,熟悉SQL语言和数据库操作,能够编写复杂的查询语句和报表。 5. 风险管理和合规要求:了解银行业务中的风险管理和合规要求,包括信息安全、反洗钱、反欺诈等方面的知识。在测试过程中,需要关注风险点,并确保系统符合相关的合规要求。 6. 沟通和团队合作能力:作为测试工程师,需要与开发人员、业务人员和其他测试人员进行有效的沟通和协作。因此,具备良好的沟通和团队合作能力是非常重要的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值