介面測試過程中常見的介面安全性問題,通用測試點整理歸納

博為峰網校 發表於 2022-06-30

我們日常的介面測試工作主要是驗證介面的功能性(入參、出參、邊界值等),沐沐在介面測試過程中遇到的一些介面安全性的問題,整理成了通用的測試點,不一定適用於全部的產品,僅做參考。 加我VX:atstudy-js 回覆“測試”,進入 自動化測試學習交流群~~

介面測試過程中常見的介面安全性問題,通用測試點整理歸納

一、登入介面校驗

驗證登入介面中密碼是否密文傳輸

這個測試點聽起來很荒唐,應該大家都知道密碼應該加密,但是在很多時候,研發人員為了趕工就會忽略這個點,所以建議大家測試登入功能的時候,一定要F12檢視一下登入介面中密碼是否是密文。

驗證登入介面是否可以登入

對於一些安全性較高的系統,測試的時候有必要驗證一下是否可以登入,可以使用Burpsuit進行登入測試。當然現在很多系統都是用手機號碼進行動態登入,如果還是常規的賬戶和密碼登入,就一定要對安全性提出質疑了,密碼強度符合等保要求麼?驗證碼要不要加上去?

二、介面規則校驗

驗證介面型別是否合理

理論上來說,除了查詢介面使用GET,其餘的介面都應該使用POST,這樣介面的安全性更高。沐沐以往的介面測試過程中確實遇到了不少業務介面使用get,引數拼接在url上及其不安全。此外,還有一個特殊情況,即不需要使用者登入的系統,查詢類的介面也不建議使用GET,在安全掃描中會出現跨站點請求偽造的問題。

驗證新增和修改介面是否是獨立的介面

這個測試點有點離譜了,沐沐在測試過程中發現新增和修改介面共用同一個,這樣似乎是沒有什麼問題,但是後期遇到了一些複雜的業務邏輯,新增和修改介面融合在一起,導致了生產資料被篡改。所以介面設計還是要嚴謹一點,新增和修改介面儘量是獨立的介面。

驗證POST介面中是否將引數拼接成URL

沐沐曾經還遇到過將post介面的引數拼接到了url上,如果資料量較大的時候,url字元長度太大介面就會報錯,可能此類情況並不常見,但是遇到過就記錄下來了。

三、介面越權校驗

介面的越權分為水平越權和垂直越權,我們可以通過Burpsuit、Appcan等工具進行越權測試,測試過程中也遇到了以下問題:

驗證介面url上是否區域編碼、身份證號等引數;

驗證介面url上存在true或false時,進行篡改,功能、資料是否越權;

驗證介面url上存在type=1或2時,進行篡改,功能、資料是否越權;

介面引數中存在pagesize或者size時,進行篡改,是否進行最大值限制;

介面body引數中存在身份證號碼時,篡改引數值,介面是否返回正確提示。

最後:

可以到我的個人V:atstudy-js,可以免費領取一份10G軟體測試工程師面試寶典文件資料。以及相對應的視訊學習教程免費分享!其中包括了有基礎知識、Linux必備、Mysql資料庫、抓包工具、介面測試工具、測試進階-Python程式設計、Web自動化測試、APP自動化測試、介面自動化測試、測試高階持續整合、測試架構開發測試框架、效能測試等。

這些測試資料,對於做【軟體測試】的朋友來說應該是最全面最完整的備戰倉庫,這個倉庫也陪伴我走過了最艱難的路程,希望也能幫助到你!

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31407649/viewspace-2903726/,如需轉載,請註明出處,否則將追究法律責任。