软件测试面试之接口测试

已于 2022-07-28 17:39:14 修改
阅读量1k 收藏 2
点赞数
文章标签: 测试用例 安全性测试 功能测试
于 2022-07-07 14:04:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/duan222wuhan/article/details/125657847
版权

我的知乎原文在这里

https://zhuanlan.zhihu.com/p/538210976

服务器接口包含服务端对服务端接口,如项目中RPC接口或dubbo接口,还有面向APP的接口,但是两种接口测试设计的理论都是一样的,只不过测试工具不同,前者可能需要把服务部署到一些开元的框架中以便可以直接在界面上直接提交请求,或者借助于代码来提交,后者由于是面向APP的,可以直接访问,用postman或者Charles就能直接测试了。无论是哪一种接口测试,都需要参考接口文档,同时结合功能去测试,下面以面向APP接口为例分享一下我在项目中常用的接口测试方法,去面试也有用哦~~

一、接口是否使用https协议

首先接口要使用https协议,众所周知http协议是不安全的协议,这个就不多赘述了

二、传输的敏感信息是否加密

比如身份证、银行卡、手机号、姓名等隐私信息是否加密,密码是否采用安全的算法,如简单的MD5加密就是不安全的加密,可能通过彩虹表破解密码

(这部分除了接口的传输要加密外,服务器日志打印也不可以直接打印出来,身份证、银行卡存入数据库的数据也需要是加密的,尤其密码最好加盐)

三、鉴权

鉴权指验证用户是否拥有访问系统的权利,分为横向越权和纵向越权。

纵向越权:指的是一个低级别攻击者尝试访问高级别用户的资源。假设管理员可以访问xxx/admin.html的页面,但是普通管理员不能访问,如果普通管理员在登录后,直接在浏览器中输入xxx/admin.html,如果能访问管理员页面,那么就是纵向越权

横向越权:指的是攻击者尝试访问与他拥有相同权限的用户的资源。某网站每个会员只能自己看到自己的会员信息,会员A在登录后能看到自己页面的内容url为xxx/member.php?id=A,如果A想偷窥B的信息,在浏览器输入xxx/member.php?id=B,如果能访问B的页面,那么就是横向越权

以上举例是修改url,对于post请求,可通过修改请求参数中id等信息来进行测试。修改后的请求参数可以用postman提交,也可以用Charles打断点拦截请求来修改参数。

四、幂等

接口幂等就是用户对同一操作发起了一次或多次请求的对数据的影响是一致不变的。比如在支付系统中,我们对某订单进行了支付,如果客户端没有拿到服务端订单状态,可以再次到支付入口进行支付,如果支付成功就导致了重复支付,就造成了资损,那么这个接口就不符合幂等,也可以通过postman重复提交支付请求,看同一订单是否能多次支付成功。

(除了服务端可以做幂等,客户端也可以做防重,比如表单的提交,如果因为网络问题页面没有及时跳转,用户点了两次提交,客户端就可以做重复判断,阻断第二次请求的提交)

五、多接口依赖

服务器的接口多具有依赖性,如会员想看到自己登录后的页面,就必须经过登录,密码登录或是验证码登录。可尝试直接拼接参数去访问后面的接口,看是否能绕过登录。另外还需要注意,如果是验证码登录,请求验证码后,验证码不可以作为返回参数返回,否则就可窃取别人的验证码了。

六、边界值测试

大量的错误是发生在输入或输出范围的边界上,而不是在输入范围的内。测试输入除了在输入范围内的值,还需要覆盖小于左边界的值里最靠近左边的值,左边界,大于左边界的第一个值,小于右边界的值里最靠近有边界的值,右边界,大于有边界的第一个值

七、必传/非必传参数,非空参数校验

接口一般会约定必传和非必传参数,我们可以入参里逐个去掉必传参数、将非空参数置空,接口需要报对应的粗错误,还有不传非必传参数,不应该引起接口报错等。尤其是对于被业务方接入的系统,如账户系统,几乎每个业务都可能调用登录,那么就需要建立登录接口的规范以便业务方的接入。

八、验签

攻击者可能篡改接口中请求参数再向服务器发起请求,服务器需要识别参数的篡改,这个识别的过程就是验签。举例:攻击者在某商城下了两笔订单,订单A的金额为1000元,订单B为1元,两笔都是待支付状态,攻击者已经通过抓包获取到了支付接口的请求参数,在支付B订单时,攻击者将请求参数中的订单号篡改成了A订单,最终可能导致用1元支付了A订单。在订单生成的接口,服务器可对请求参数加签,返回给客户端,客户端将得到的签名赋给sign作为支付接口的请求参数再提交给服务端,然后服务端和调用支付接口过来的参数比对,不一样就是验签失败,非法请求。

九、数据单位测试

客户端和服务端需要约定好数据的单位,比如和金额相关的接口约定好是分还是元,如果约定的是元,客户端是否会传0.1,0.10,1.00, 1.0, 1的情况,服务端是否又能应对这些情况,给出正确的返回

十、对于任何接口异常,客户端都需要展示对应的用户页面

1、服务端需要对错误进行转码再返回给客户端

上游服务器如果出现错误,处理客户端请求的服务器需要处理错误,转成和客户端定义好的错误码。测试的时候可以关闭或重启上游服务,然后客户端发起请求,看服务器应对情况

2、客户端需对所有错误都有用户错误页面

APP应该对所有接口都有超时处理,给用户展示统一的错误页面。服务器的出错不能直接展示给用户,可以修改响应未客户端不能识别的格式,看客户端是否会处理。

以上为我工作中常用的接口测试方法,后面可能会再更新一个关于支付系统测试的,请持续关注,如果觉得对你有帮助可以点个赞哦~~转载请注明出处~~

已更新支付系统测试_houge呀的博客-CSDN博客

houge呀
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
接口测试面试复习笔记.docx
04-29
文档包含接口测试基础+招聘需求+网络协议+请求方法+接口测试工具的讲解...适合软件测试人员学习和面试复习 使用场景和目标:可以在招聘面试和实际工作中起到比较大的作用 目标:可以帮助您成为一名合格的接口测试工程师
软件质量保证常用测试方法---边界值测试,等价类测试,路径测试
Qlz的博客
01-15 6280
本文内容整理自西安交通大学软件学院杜小智老师的mooc附件ppt mooc链接:软件质量保证_中国大学MOOC(慕课) 文章目录测试方法边界值分析技术边界值选择的基本原则边界值测试分类边界值分类分类案例普通边界值测试健壮性测试最坏情况测试健壮最坏情况等价类测试等价类概念分类两个动机等价类测试原则等价类测试流程确定等价关系生成测试用例示例确定等价关系生成测试用例输出域等价类综合测试用例进一步思考等价类测试扩展示例等价关系弱一般等价类测试强一般等价类弱健壮等价类测试强健壮性等价类测试示例2路径测试程序图定义.
软件测试基础知识整理(十)- 接口测试
JHY97的博客
06-27 1085
在计算机科学和软件开发中,接口是指不同软件组件之间进行通信互动的一种规范或约定。接口定义了组件之间的通信方式、数据格式、函数调用方式、信息传递机制等。
软件测试——接口测试
最新发布
mercury__的博客
04-15 886
HTTP(HyperText Transfer Protocol)超文本传输协议,是一个基于请求与响应模式的、应用层的协议,也是互联网上应用最为广泛的一种网络协议。环境变量:var 变量 = pm.environment.get(“环境变量名”)。注意获取的变量是现在所在环境的变量。(比如说,登录接口的密码,在发送前需要做加密处理,那么就可以在前置脚本中做加密处理)全局变量:pm.globals.set(“全局变量名”,全局变量值):在特定环境(生产环境、开发环境、测试环境等)下,生效的变量。
软件测试---接口测试
weixin_42603991的博客
08-16 1793
接口的组成 URL(接口地址)、method(接口类型:get/POST)、code(状态码)、headers(请求头)、data(接口发送的数据)、response(返回数据) 接口的操作 参数化 变量(全局变量、局部变量) 自定义脚本 接口的关联 断言–自动判断是否成功 抓包 工具 fiddler:HTTP、HTTPS network wireshark:其他协议 原理 作用 定位bug 判断是否调用接口:如果没有调用接口,那就是前端的bug;如果有,则看接口的状态码(200–前端发送了错
接口测试用例设计
执子手 吹散苍茫茫烟波
08-27 317
一.接口核心功能校验 二.header校验 校验get/post请求方式是否正确,校验http/https协议 三.参数校验 必填/选填参数校验,参数类型校验,参数组合校验,参数枚举校验(枚举范围和超过枚举范围),参数为null或者空校验,参数边界值校验(最大值,最小值&参数长度),参数值有效性校验(符合业务规则),参数默认值校验 四.异常场景 重复提交,接口请求超时 五.安全校验 传输数据是否加密,身份权限验证(cookie,token,session,userid等) ...
软件测试经典面试题大全
03-09
通过深入了解以上知识点,并熟练运用相关工具,你将在2024年的软件测试面试中展现出扎实的技能基础,为成功入职增添砝码。记得不断学习和实践,保持与时俱进,才能在竞争激烈的IT行业中立于不败之地。
软件测试面试题目1.doc
11-29
软件测试面试题目1 在软件测试中,测试工作的开展是至关重要的。软件测试的目的是为了确保软件的质量,避免软件在发布之前存在的问题。测试工作可以发现软件中的问题,并让开发人员及时地修改问题。在测试报告中,...
软件测试面试题大全.doc
11-16
软件测试面试题大全 软件测试是一种旨在评估软件系统或应用程序是否满足其所设计的要求和期望的过程。软件测试面试题大全涵盖了软件测试的各个方面,包括测试方法、测试策略、测试技术和测试管理等。 1. 怎么做好...
最强软件测试面试题!!
10-09
软件测试面试题涵盖了Web自动化测试、APPUI自动化测试以及接口测试等多个方面,旨在考察应聘者的专业技能和实践经验。以下是对这些面试题的详细解答: 一、Web自动化测试 1. Selenium无法直接定位到hidden或...
软件测试-接口测试
软件测试学习者
11-29 844
软件测试接口测试相关内容
接口测试基础
u014036251的博客
11-09 242
接口测试测试系统组件间接口的一种测试接口测试主要用于检测外部系统与系统之间以及内部各个子系统之间的交互点。 测试的重点是要检查数据的交换,传递和控制管理过程,以及系统间的相互逻辑依赖关系等。接口测试大体分为两类:模块接口测试和 web 接口测试。 模块接口测试 模块接口测试是单元测试的基础。它主要测试模块的调用与返回。经常需要编写一些桩模块与驱动模块。 主要测试要点如下: 检查接口返回的数据是否与预期结果一致。 检查接口的容错性,假如传递数据的类型错误时是否可以处理。 接口参数的边界值。例如,传递的参数
软件测试之------接口测试
CiCi_he的博客
05-09 233
一、*args的使用方法 *args 用来将参数打包成tuple给函数体调用 例子一: def function(*args): print(args, type(args)) function(1) 输出结果以元组的形式展示: 例子二: def function(x, y, *args): print(x, y, args) function(1,...
接口测试如何做?超全接口测试-测试点总结(最全)
m0_60054525的博客
07-14 1908
为什么要做接口测试?在公司里,客户端和服务端通常是由不同的团队开发的,在项目开发过程中,客户端和服务端开发的进度不一致,比如服务端先开发完了,这个时候可以先对服务端进行接口测试,确保服务端逻辑和返回数据是正确的。然后再测试客户端,或者是某些测试部门,专门测试服务端开发团队,因此,他们的测试对象就是接口。在测试某些业务时,不能仅仅通过前端来测试,比如用户注册,前端限制了用户名不能为空,但是有些人可能通过工具绕过前端直接调用服务端接口,如果服务端没有做相关的逻辑判断,就会造成数据 错误。
史上最细,老鸟软件测试-接口测试总结,看这篇就够了
m0_60054525的博客
12-19 921
后端接口测试什么?怎么测的?后端接口测试一遍 ,前端也测试一遍,是不是重复测试了?于是,为了向开发解释上述问题,普及基本的测试常识,特意梳理了接口测试的相关内容以及其与前端测试的区别,使开发团队与测试团队在测试这件上达成基本的共识,提高团队协作效率,从而更好的保证产品质量。
软件测试(功能、接口、性能、自动化)详解
2301_81245733的博客
12-05 793
说说软件测试,功能,接口,性能,自动化详解
软件测试面试接口测试
12-01
接口测试软件测试中扮演着非常重要的角色,因为它可以帮助测试人员深入了解系统的内部工作原理,发现潜在的问题和缺陷。以下是一些可能会在接口测试面试中被问到的问题和参考答案: 1. 你对接口测试的理解是什么...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值