APP接口自动化加密实战

最新推荐文章于 2024-05-22 15:51:46 发布
最新推荐文章于 2024-05-22 15:51:46 发布
阅读量1k 收藏 4
点赞数
分类专栏: python 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MidSummer411/article/details/117032059
版权
在自动化测试中经常会遇到的一个痛点就是,报文传输加密.有一些系统,从安全的角度考虑,后端是无法解析明文的,必须收到的是密文然后解密,才能做下一步操作.在测试环境,有些后端改个参数,可以实现接收明文,但是也有一些系统,必须修改大量代码,才能实现接收明文的效果,而做自动化测试的一个原则之一便是 尽量不要因为做自动化而让开发修改代码 .今天以我司手机银行app为例, 讲解报文加密问题解决的方法.加密类型分析一般手机银行的APP加密可以分为: 登录密码加密, 报文传输加密, 支付密码加密.登录密码加
摘要由CSDN通过智能技术生成

在自动化测试中经常会遇到的一个痛点就是,报文传输加密.

有一些系统,从安全的角度考虑,后端是无法解析明文的,必须收到的是密文然后解密,才能做下一步操作.

在测试环境,有些后端改个参数,可以实现接收明文,但是也有一些系统,必须修改大量代码,才能实现接收明文的效果,而做自动化测试的一个原则之一便是 尽量不要因为做自动化而让开发修改代码 .

今天以我司手机银行app为例, 讲解报文加密问题解决的方法.

加密类型分析

一般手机银行的APP加密可以分为: 登录密码加密, 报文传输加密, 支付密码加密.

  • 登录密码加密
    登录密码一般都是调用国密插件加密,我们无法模拟.
    解决方式是从日志里捞加密后的密码密文,直接重复使用密码密文. 对GM加密莫式管用, G1加密模式不管用.
    模拟登录的最终目的是为了拿Cookie. 如果无法模拟登陆,那就人工登录, 抓报文,获取Cookie,在后续接口调用中使用. 并且要项目组在测试环境延长Cookie有效期.

  • 报文传输加密
    如果服务端不能直接接收明文,那就只能模拟项目组的客户端加密代码,由我们自己写代码实现,并部署在内网服务器. 自动化平台发送报文给我们的加密服务器,加密后转发给app后端服务器

  • 支付密码加密
    支付密码也是调国密控件直接加密.测试环境默认支付密码都一样,可以从日志里捞加密后的密码密文,我们直接重复使用密码密文.

登录密码

接口自动化中,用户之所以需要登录app,是为了拿到Cookie方便后续接口使用. 那么在登录密码调用安全控件无法模拟的情况下,可以直接写个配置单,给后续接口调用.

最低0.47元/天 解锁文章
Flutter&Python&Test
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于appKey和md5的接口加密验签
吹梦到西洲
02-02 486
基于appKey和md5的接口加密验签。
API 接口防刷
小码哥222的博客
02-04 872
refer:https://www.cnblogs.com/rstyro/articles/10715652.html API 接口防刷 顾名思义,想让某个接口某个人在某段时间内只能请求N次。 在项目中比较常见的问题也有,那就是连点按钮导致请求多次,以前在web端有表单重复提交,可以通过token 来解决。 除了上面的方法外,前后端配合的方法。现在全部由后端来控制。 文章目录API 接口防刷一、API 接口防刷1 原理2 代码实现: 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断
移动app的UI和接口自动化测试怎么进行?
最新发布
m0_58026506的博客
05-22 701
为了进行移动App的UI和接口自动化测试,我们需要按照以下步骤进行操作。本文将从零开始,详细介绍自动化测试的步骤和规范。
uniapp接口层的aes和rsa的对称与非对称加密
weixin_44510655的博客
07-20 3749
uniapp实现接口层的aes和rsa对称与非对称的加密与解密
【入门篇】接口自动化测试
软件测试技术资源分享官
04-19 2129
1. 什么是接口测试 顾名思义,接口测试是对系统或组件之间的接口进行测试,主要是校验数据的交换,传递和控制管理过程,以及相互逻辑依赖关系。其中接口协议分为HTTP,WebService,Dubbo,Thrift,Socket等类型,测试类型又主要分为功能测试,性能测试,稳定性测试,安全性测试等。 在分层测试的“金字塔”模型中,接口测试属于第二层服务集成测试范畴。相比UI层(主要是WEB或APP)自动化测试而言,接口自动化测试收益更大,且容易实现,维护成本低,有着更高的投入产出比,是每个公司开展自动化测试的首
自定义控件APP中支付密码设置输入,使用系统输入法
qq_38069477的博客
12-17 237
效果图展示 自定义edittext实现 public class PassWordView extends EditText { // 画笔 private Paint mPaint; // 一个密码所占的宽度 private int mPasswordItemWidth; // 密码的个数默认为6位数 private int mPass...
Android实战项目源码-金融APP
12-22
1. Gradle:构建工具,支持自动化构建、依赖管理等功能。 2. Jenkins:持续集成服务器,自动构建、测试和发布应用。 3. Crashlytics:崩溃报告服务,收集并分析应用的运行时错误。 本项目通过P2PInvest0828这一子...
基于uni-app框架的登录模板
02-21
同时,针对原生APP提供了原生插件接口,增强性能和用户体验。 二、登录模板详解 1. 页面结构:登录模板通常包含用户名输入框、密码输入框、登录按钮、注册链接、忘记密码链接等元素,设计应遵循用户习惯,注重易用...
网上商城实战笔记包含源码
04-24
8. **测试与部署**:单元测试、集成测试确保代码质量,自动化部署工具(如Jenkins)加速上线流程,监控工具(如Prometheus、Grafana)用于实时监控系统状态。 9. **支付系统**:实现在线支付功能,需要对接支付网关...
基于移动平台的APP软件测试.pdf
08-26
解决方案是建立严格的测试流程,增加自动化测试比例,以提高测试效率和准确性。 2. **用户需求匹配**:有时,APP的功能可能与用户需求不符或操作复杂。为解决这一问题,开发者应进行用户调研,理解用户行为,持续...
每天分享几个python项目 —— chatapp_0
02-22
11. **持续集成/持续部署(CI/CD)**:对于大型项目,可能还需要了解Git版本控制,以及如何设置Jenkins或GitHub Actions等自动化工具进行代码测试和部署。 通过这个ChatApp_0项目,开发者不仅可以巩固Python编程基础...
AutoZone:web,APP ,接口 UI自动化一体测试平台
05-14
AutoZone web,APP ,接口 UI自动化一体测试平台 与其他测试平台相比有什么优点: 1.测试平台解决了web,app部分元素无法定位的痛点,只需要对无法定位的点进行截图,然后上传到工程目录下后,在自动化用例里面输入图片的名称与格式就会进行图像的匹配识别,识别到后会完成点击与判断页面是否存在等操作 2.采用Robotframework 的关键字系统,只需要输入关键字 加上元素的定位等方式,减少代码量的编写 3.可以自己编写第三库进行导入,扩展性极强 4.接口测试与UI测试可以同时进行,采用了python的多进程与协程操作,减少自动化用例的运行时间 开发测试平台的初衷:希望web,app的UI自动化和接口的自动化能够一起执行,去掉jenkins构建,代码重构,繁多等问题。 本平台是1.0版本,后续还将完善更多的功能(考虑是作成一个测试的客户端还是网页) 什么是AutoZone测试
| 实战演练基于加密接口测试测试用例设计
软件测试小迷糊
04-26 137
如果接口测试仅仅只是掌握一些requests或者其他一些功能强大的库的用法,是远远不够的,还需要具有根据公司的业务以及需求去定制化一个接口自动化测试框架能力。所以在这个部分,会主要介绍接口测试用例分析以及通用的流程封装是如何完成的。 更多干货可关注公众号一键获取哦~ 首先在做用例分析之前,可以通过追查公司一年来所有的故障原因,定位问题起因,或者通过与CTO、产品经理、研发、运维、测试调查,得到质量痛点,还可以分析业务架构、流程调用,以及监控系统了解到业务的使用数据,从而得到质量需求。 得到质量需求之后,通.
全方面了解接口自动化,看完还不会你锤我
热门推荐
阿星君
07-13 2万+
一、自动化分类 (1)接口自动化 python/java+requests+unittest框架来实现 python/java+RF(RobotFramework)框架来实现——对于编程要求不高 (2)Web UI功能自动化 python/java+selenium+unittest+ddt+PO框架来实现 python/java+RFS(RobotFrameWork+Selenium)框架来实现——对于编程要求不高 (3)App自动化 python/java+appnium+unit
python做app接口测试_一种APP接口自动化测试方法与流程
weixin_39668496的博客
03-02 1735
本发明涉及app接口自动化测试技术领域,特别是一种app接口自动化测试方法。背景技术:app的应用已经变为平常,而从测试角度来说,测试这些app接口成为了不可或缺的工作内容。那么在接口不断修改和迭代开发,甚至在后台没有对应功能时就要测试接口。这种情况下,一般都由开发人员自行测试,一般的测试岗则很难插足。或者每一次接口上线,都要完整测试一遍所有接口,因时间紧而对测试内容有所取舍导致上线后在意想不到的...
Appium 关于 appium 的原生控件的 xpath 定位问题及常用方法
onandonandon的专栏
02-16 6843
关于类似的帖子好像很多,但是没有找到具体能帮我解决问题的办法。还是自己深究了好久才基本知道app上面的xpath定位和web上的不同点: 先放一个图: 第一,appium1.5及之后的版本废弃了name属性(如name=账单,将不被支持用于定位),所以基本的定位就用下id就好了。其他的不多说了。 第二,下面就来说一下关于xpath的定位。主要场景为没有id或者没有text,或者t
App接口加密解密方法
weixin_34218890的博客
07-25 1413
//加密 function encrypt($data) { $key = md5("safregr"); $str = base64_encode($data); $res = base64_encode($str.$key); return $res; } //解密 function decrypt($data) ...
App 防止 Fiddler 抓包小技巧(增加自身App安全性)
wolfking0608的博客
08-27 6213
转载自:https://blog.csdn.net/fredro/article/details/80380802 金融类的App,因为有些交易金额特别大,对应用的安全性也非常高,如何防止被第三方抓包,就需要对App内部做一些设置。 具体应用到以下步鄹就可以 1.判断当前系统是否挂代理 获取当前系统是否设置代理,可以根据不同的 Api Level,分别通过 System.getProper...
APP HTTP接口报文加密与压缩
巴萨,足球的艺术
08-10 3133
在做APP类的产品时,整个业务逻辑通常都会放在服务端,客户端大部分仅用来展示。  在客户端与服务端的交互过程中,报文的安全及流量的节约相对来说就显得比较重要。   本文展示如何通过3DES对报文进行加密,并通过Nginx自带的gzip对报文进行压缩。 一: 加密规则及流程 二: nginx 开启gzip配置    gzip  on;     gzip_min_length
app接口自动化工具
07-27
对于app接口自动化工具,有以下几个常用的选择: 1. Appium:Appium是一款开源的移动应用自动化测试框架,支持多种平台(iOS、Android等),使用WebDriver协议进行测试。它可以通过模拟用户交互来执行测试,可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值