接口安全性测试该从哪些方面入手?阿里8年经验测试手把手教学

最新推荐文章于 2024-04-12 11:01:20 发布
最新推荐文章于 2024-04-12 11:01:20 发布
阅读量363 收藏 2
点赞数
文章标签: 测试工程师 自动化 软件测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60945327/article/details/122242287
版权
本文由资深测试工程师分享接口安全性测试要点,包括防刷策略、防止XSS、CSRF、SQL注入的措施,以及接口安全性用例设计,帮助提升软件的安全性。
摘要由CSDN通过智能技术生成

Hi,大家好。我们在开展接口测试时也需要关注安全测试,例如敏感信息是否加密、必要参数是否进行校验。今天就给大家介绍接口安全性测试应该如何开展,文末可领资料。

走过路过不要错过。

请点击输入图片描述(最多18字)

接口防刷案例分析

1

案例

  • 黄牛在12306网上抢票再倒卖并牟利。

  • 恶意攻击竞争对手,如短信接口被请求一次,会触发几分钱的运营商费用。

  • 进行压测时,用Apache Bench做压力测试。

2

什么行为判定为刷接口?

  • 接口请求次数多;

  • 接口请求概率频繁,可能1秒上千次;

  • 用户身份难以识别,可能会在刷的过程中随时换浏览器或者ip;

3

如何判断用户粒度?

根据当前网页

  • 缺点:没有任何意义,刷新页面后用户的身份就变了;

根据session

  • 缺点:当用户手动清除 cookie 的时候即失效;

根据ip

  • 优点:伪造成本高;

  • 缺点:要考虑一个公司、一个小区的人一般会共享一个 ip,所以适当的要放宽对单一 ip 的请求限制;

如何处理恶意请求?

最低0.47元/天 解锁文章
软件测试小P
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何做好接口测试
changfeifan_888的博客
01-10 531
    1.    首先,什么是接口?    接口无非有两种,一种是内部接口,一种调用对外包装的接口    内部接口:方法与方法之间,模块与模块之间的交互,程序内部抛出的接口,例如下订单,首先你需要登录,然后调用下订单接口,两个模块有交互那么相互之间的调用,就属于内部接口    对外包装的接口:例如A部门做一个买车服务,它卖两种车一是二手,二是新车,那么它要卖二手车,是不是直接可以调用二...
【安全测试接口安全性
acycy的博客
05-04 1万+
参考:https://blog.tanteng.me/2017/06/web-api-security/ 之前这边负责的项目后来被主管说接口这里有些风险,特此参考学习接口安全性测试点。 一.接口防刷 1.为什么会有人要刷接口? 牟利:黄牛在 12306 网上抢票再倒卖。 恶意攻击竞争对手:如短信接口被请求一次,会触发几分钱的运营商费用,当量级大了也很可观。 压测:用apache be...
接口安全性测试,应该从哪些方面入手
软件自动化测试技术交流、资源分享
12-29 3080
Hi,大家好。我们在开展接口测试时也需要关注安全测试,例如敏感信息是否加密、必要参数是否进行校验。今天就给大家介绍接口安全性测试应该如何开展,文末附终总结模板,需要末汇报的童鞋们,走过路过不要错过。
接口测试用例(安全测试
11-19 2300
接口测试用例与一般UI测试用例的区别: 相同点:基本的用例设计方法,参照相同的需求和业务 不同点:不受界面限制,逻辑性更重,存在隐藏内容,特殊值更多,传输格式种类繁多 越界数值测试:超出正常可输入范围 特定数值:0.-1 错误类型测试:比如字符 选择型超范围测试:下拉列表,非选项数据 空值测试:值为空null sql试探性注入测试 登录:用户名sql注入 ...
看雪『Android安全』板块 2018 优秀和精华帖分类索引
墨鱼菜鸡
07-11 893
转载:https://bbs.pediy.com/thread-249602.htm [推荐]『Android安全』版2018优秀和精华帖分类索引 文章筛选和评价仅代表个人观点,欢迎指正。 列表不定期更新,欢迎自荐~ 2018 1.逆向技术基础 Frida操作手册-Android环境准备 Frida hook方便快捷,并且跨平台,可以学习一...
大数据、云计算该如何学习?
yyyyyyyyyooi的博客
06-06 9283
大数据之Linux+大数据开发篇 【大数据开发学习资料领取方式】:加入大数据技术学习交流群458345782,点击加入群聊,私信管理员即可免费领取 阶段一、大数据、云计算 - Hadoop大数据开发技术 课程一、大数据运维之Linux基础 本部分是基础课程,帮大家进入大数据领域打好Linux基础,以便更好地学习Hadoop,hbase,NoSQL,Spar...
IT行业都有哪些职位,初学者如何选择才能够快速进入这个行业?
热门推荐
IT修真院:初学者转行到互联网的聚集地
05-14 2万+
【本人性格不好,被惹到了必然句句带脏字,所以评论中如果有不开眼的,请慎重。 另外,这篇回答从头到尾都是我自己的个人偏见,绝对不客观,也绝对不会为本答案负责。 所以,有自己正常思维的请不要再看下去了。】 互联网行业的薪资水准相对较高,刚入行一个月,半,或者一超过其他行业薪资很正常。 那么,互联网行业究竟有哪些职位呢,又分别适合哪些传统行业转型? 1.产品 2.UI 3.CSS...
终于有人将金融风险管理讲明白了
华章IT官方博客
04-13 3094
互联网金融是传统金融业务与新兴互联网技术结合的一个交叉领域,例如互联网公司开展的金融业务,或者金融机构的线上化服务,都属于互联网金融的范畴。与传统金融行业的线下模式相比,互联网金融以网络和...
关于接口安全性测试,这几点你必须掌握_服务端接口安全性测试
最新发布
erthre的博客
04-12 1141
根据当前网页缺点:没有任何意义,一刷新页面用户的身份就变了根据session缺点:当用户手动清除 cookie 的时候即失效根据ip优点:伪造成本高缺点:要考虑一个公司、一个小区的人一般会共享一个 ip,所以适当的要放宽对单一 ip 的请求限制ip 信息是存在请求头里的,而 https 对请求本身做了加密,可以防止 ip 信息被伪造或篡改。所以推荐服务器采用https传输。例如限制用户登录,用户必须达到一定条件才可以(任务限制,金额限制,参与次数限制)
接口测试基本安全
angel192939的博客
01-25 580
一、后台接口分类 1、接口类别:restful(json) soap(xml) 2、协议 :http https(ssl) 3、restful接口请求类型 get操作是安全的 post的操作是不安全的 同put delete也是不安全的 4、现状和问题 大部分APP的接口都采用restful架构,restful最重要的一个设计原则就是客户端与服务...
接口安全测试
ada4656的博客
08-25 177
(1)描述:在一个产品中,一个正常的用户A通常只能够编辑自己的信息,别人的信息无法查看或者只能查看的权限,但是由于程序不校验用户的身份,A用户更改自己的id值就进入了B用户的主页,可以查看、修改B用户的信息,这种漏洞我们就将其称之为越权漏洞。(1)描述:利用XSS的攻击者进行攻击时会向页面插入恶意Script代码,当用户浏览该页面时,嵌入在页面里的Script代码会被执行,从而达到攻击用户的目的。(1)描述:CSRF是一种对网站的恶意利用,过伪装来自受信任用户的请求来利用受信任的网站。
接口测试怎么进行,如何做好接口测试
测试萌萌
05-21 1万+
一、什么是接口接口测试主要用于外部系统与系统之间以及内部各个子系统之间的交互点,定义特定的交互点,然后通过这些交互点来,通过一些特殊的规则也就是协议,来进行数据之间的交互。 二、 常用接口采用方式: 1、webService接口:是走soap协议通过http传输,请求报文和返回报文都是xml格式的,我们在测试的时候都用通过工具才能进行调用,测试。可以使用的工具有apipost、jmeter、loadrunner等; 2、http api接口:是走http协议,通过路径来区分调用的方法,请求报文都是ke.
接口测试系列之——接口安全测试
03-23 5811
Testerhome社区爱好者合力编写了《2021接口测试白皮书》,并于今2月底发布。本文节选自其中的的「安全测试」章节。 “开源 Web 应用安全项目”(OWASP)在 2019 发布了 API 十大安全风险 《OWASP API 安全 Top10》:失效的对象级别授权、失效的用户身份验证、过 度的数据暴露、资源缺乏和速率限制、失效的功能级授权、批量分配、安全配置 错误、注入、资产管理不当、日志和监视不足位列其中。我们以此为依据对 API十大安全风险进行介绍。 ▌失效的对象级别授权 失效的对.
接口的安全测试
weixin_30737363的博客
05-10 638
11 转载于:https://www.cnblogs.com/jiaoyang77/p/9018278.html
手把手教你:JavaScript自建单元测试框架详解
在本文《JavaScript单元测试ABC》中,作者探讨了在JavaScript开发中的单元测试实践,尤其是在前端JavaScript环境下的重要性。随着Web编程的发展,单元测试不仅局限于服务器端,前端代码质量的保证同样需要严格的测试...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值