接口测试(三)使用fiddler进行接口安全测试

一、fiddler简单介绍
fiddler是web调试工具,可以记录客户端和服务器之间发送的http和https请求、允许监视,设置断点,还可以修改输入输出数据
二、fiddler原理-运行机制
监听8888端口的http代理
fiddler相当于一个代理服务器,开启fiddler后自动设置代理,当客服端向服务器发送请求时,fiddler可以截获到请求信息,fiddler可以代替客户端向服务器发送请求,同时,服务器接收到请求后进行处理,将信息返回客户端,fiddler截获响应信息,代替服务器向客户端发送响应信息。
三、fiddler的安装
1.安装NDP451
2.安装fiddler4
3.安装fiddlersyntax
四、fiddler捕获请求
1.使用真实的ip或域名
2.fiddler的response出现乱码,原因四html被压缩了,可以通过点击“response body is encouded.click to decode"进行解压缩,还可以点击工具栏中的decode
3.fiddler监听https的操作
1)tool-fiddler option-https 设置勾选“decrypt https traffic"
2)如果不监听服务器端的证书可以勾选"ignore server certification errors“
五、使用fiddler实现接口安全测试
1.抓取登录成功后的界面,获取cookie ,和登录后的url,将fiddler退出,再重新打开,点击composer,输入登录成功后的URL,在下面的输入框中输入cookie,点击execute ,查看响应结果,是否登录成功,如果登录成功那么就存在安全隐患
2.将登录参数名设置为错误的进行发送请求,查看是否登录成功
六、伪造数据
1.设置断点修改request,使用此方法进行篡改数据
例如篡改价格,将请求价格修改为负数重新回放,验证是否请求成功
步骤,先在fiddler点击截获请求图标,然后在系统中发送请求,回到fiddler中进行篡改数据,然后点击“break on response"设置断点,然后再点“run to completion",然后取消抓包,再次回到系统中,发现iddler已经模拟客户端发送请求
支付漏洞与解决方案
1、在支付中直接发送含有需支付金额的数据包
解决:让开发不要在数据包中加入价格和数量等敏感信息
2、没有对购买数量进行限制
解决:严格控制购买数量的大小,不允许数量为负数,控制总支付金额的数量
3、程序的异常处理
指支付的数据包异常的程序的错误处理
这种异常可以是数据与key不符合,支付金额有错误,购买数量不正确
程序的异常处理出现的原因主要是开发人员对出现异常后处理不当造成的

  • 2
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

姑娘别秃头

你的鼓励是为我创作最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值