企业官网建设流程全解析

赣州建设部网站,杭州优质网站建设,建材类网站建设方案,襄阳蒂凯网络网站建设小程序我们日常的接口测试工作主要是验证接口的功能性#xff08;入参、出参、边界值等#xff09;#xff0c;沐沐在接口测试过程中遇到的一些接口安全性的问题#xff0c;整理成了通用的测试点#xff0c;不一定适用于全部的产品#xff0c;仅做参考。 一、登录接口校验 验证…我们日常的接口测试工作主要是验证接口的功能性入参、出参、边界值等沐沐在接口测试过程中遇到的一些接口安全性的问题整理成了通用的测试点不一定适用于全部的产品仅做参考。一、登录接口校验验证登录接口中密码是否密文传输这个测试点听起来很荒唐应该大家都知道密码应该加密但是在很多时候研发人员为了赶工就会忽略这个点所以建议大家测试登录功能的时候一定要F12查看一下登录接口中密码是否是密文。验证登录接口是否可以爆破登录对于一些安全性较高的系统测试的时候有必要验证一下是否可以爆破登录可以使用Burpsuit进行爆破登录测试。当然现在很多系统都是用手机号码进行动态登录如果还是常规的账户和密码登录就一定要对安全性提出质疑了密码强度符合等保要求么验证码要不要加上去二、接口规则校验验证接口类型是否合理理论上来说除了查询接口使用GET其余的接口都应该使用POST这样接口的安全性更高。沐沐以往的接口测试过程中确实遇到了不少业务接口使用get参数拼接在url上及其不安全。此外还有一个特殊情况即不需要用户登录的系统查询类的接口也不建议使用GET在安全扫描中会出现跨站点请求伪造的问题。验证新增和修改接口是否是独立的接口这个测试点有点离谱了沐沐在测试过程中发现新增和修改接口共用同一个这样似乎是没有什么问题但是后期遇到了一些复杂的业务逻辑新增和修改接口融合在一起导致了生产数据被篡改。所以接口设计还是要严谨一点新增和修改接口尽量是独立的接口。验证POST接口中是否将参数拼接成URL沐沐曾经还遇到过将post接口的参数拼接到了url上如果数据量较大的时候url字符长度太大接口就会报错可能此类情况并不常见但是遇到过就记录下来了。三、接口越权校验接口的越权分为水平越权和垂直越权我们可以通过Burpsuit、Appcan等工具进行越权测试测试过程中也遇到了以下问题验证接口url上是否区域编码、身份证号等参数验证接口url上存在true或false时进行篡改功能、数据是否越权验证接口url上存在type1或2时进行篡改功能、数据是否越权接口参数中存在pagesize或者size时进行篡改是否进行最大值限制接口body参数中存在身份证号码时篡改参数值接口是否返回正确提示。The more we shareThe more we have.希望这篇文章对大家有用...感谢每一个认真阅读我文章的人礼尚往来总是要有的虽然不是什么很值钱的东西如果你用得到的话可以直接拿走这些资料对于【软件测试】的朋友来说应该是最全面最完整的备战仓库这个仓库也陪伴上万个测试工程师们走过最艰难的路程希望也能帮助到你!有需要的小伙伴可以点击下方小卡片领取