安全测试参考指南

最近对接口安全测试方面的内容进行了总结，主要包括以下内容

 

一、授权

1. 接口请求方法应该与接口设计一致，过滤不允许的请求方式。对不允许的请求方式，可以返回HTTP状态码 405 Method not allowed

2. 对用户的API KEY或者SESSION TOKEN应该限定访问权限，并设置明确的有效期

 

二、输入确认

1. 检查请求Header中的Content-Type是否为服务器允许的类型，并且请求的内容类型与Content-Type一致，如果不同，可以发返回HTTP状态码：406 Not Acceptable 或者415 Unsupported Media Type

2. 对传入服务器的内容（类型/格式/范围/长度）进行校验

3. 传入的内容需要转义或过滤（例如检查是否在允许的正则式范围内），避免注入攻击

4. 对请求体的大小有明确的限定，超过大小限制的访问应该拒绝，使用HTTP状态码 413 Request Entity Too Large

 

三、输出编码

1. 服务器发送的内容需要明确Content-Type，并且与内容类型一致。另外，Content-Type中应该包含所使用的字符集（charset）。例如：Content-Type: application/json; charset=utf-8

Content-Type: multipart/form-data; charset=utf-8

2. 服务端应该发送 X-Content-Type-Options: nosniff，避免客户端重复探测所使用的Content-Type

 

四、加密

1. 在传输数据时，应该使用HTTPS协议。在只支持HTTPS的服务中，需要设置HTTP Strict Transport Security(HSTS)，例如：Strict-Transport-Security: max-age=31536000 ; includeSubDomains

2. 敏感信息传输时需要进行加密，并且放入Header或者POST的Body中进行传输

 

五、频率控制

1. 对用户的访问进行频率控制，避免引起拒绝服务攻击。如果请求太快，可以返回HTTP状态码 429 Too Many Requests

 

六、状态码使用

1. 状态码使用符合HTTP标准状态码定义

2. 禁止在业务中使用标准的HTTP状态码

 

七、日志记录

1. 请求的日志中应该能区分客户信息

2. 对访问失败的请求有日志记录，便于后续确认是否受到攻击

 

参考资料：

https://cheatsheetseries.owasp.org/cheatsheets/REST_Security_Cheat_Sheet.html

https://blog.restcase.com/top-5-rest-api-security-guidelines/

OWASP Application Security Verification Standard (ASVS) Project - https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project