介面測試過程中常見的介面安全性問題，通用測試點整理歸納

我們日常的介面測試工作主要是驗證介面的功能性（入參、出參、邊界值等），沐沐在介面測試過程中遇到的一些介面安全性的問題，整理成了通用的測試點，不一定適用於全部的產品，僅做參考。 加我VX：atstudy-js 回覆“測試”，進入 自動化測試學習交流群~~

一、登入介面校驗

驗證登入介面中密碼是否密文傳輸

這個測試點聽起來很荒唐，應該大家都知道密碼應該加密，但是在很多時候，研發人員為了趕工就會忽略這個點，所以建議大家測試登入功能的時候，一定要F12檢視一下登入介面中密碼是否是密文。

驗證登入介面是否可以登入

對於一些安全性較高的系統，測試的時候有必要驗證一下是否可以登入，可以使用Burpsuit進行登入測試。當然現在很多系統都是用手機號碼進行動態登入，如果還是常規的賬戶和密碼登入，就一定要對安全性提出質疑了，密碼強度符合等保要求麼？驗證碼要不要加上去？

二、介面規則校驗

驗證介面型別是否合理

理論上來說，除了查詢介面使用GET，其餘的介面都應該使用POST，這樣介面的安全性更高。沐沐以往的介面測試過程中確實遇到了不少業務介面使用get，引數拼接在url上及其不安全。此外，還有一個特殊情況，即不需要使用者登入的系統，查詢類的介面也不建議使用GET，在安全掃描中會出現跨站點請求偽造的問題。

驗證新增和修改介面是否是獨立的介面

這個測試點有點離譜了，沐沐在測試過程中發現新增和修改介面共用同一個，這樣似乎是沒有什麼問題，但是後期遇到了一些複雜的業務邏輯，新增和修改介面融合在一起，導致了生產資料被篡改。所以介面設計還是要嚴謹一點，新增和修改介面儘量是獨立的介面。

驗證POST介面中是否將引數拼接成URL

沐沐曾經還遇到過將post介面的引數拼接到了url上，如果資料量較大的時候，url字元長度太大介面就會報錯，可能此類情況並不常見，但是遇到過就記錄下來了。

三、介面越權校驗

介面的越權分為水平越權和垂直越權，我們可以透過Burpsuit、Appcan等工具進行越權測試，測試過程中也遇到了以下問題：

驗證介面url上是否區域編碼、身份證號等引數；

驗證介面url上存在true或false時，進行篡改，功能、資料是否越權；

驗證介面url上存在type=1或2時，進行篡改，功能、資料是否越權；

介面引數中存在pagesize或者size時，進行篡改，是否進行最大值限制；

介面body引數中存在身份證號碼時，篡改引數值，介面是否返回正確提示。

最後：

可以到我的個人V：atstudy-js，可以免費領取一份10G軟體測試工程師面試寶典文件資料。以及相對應的影片學習教程免費分享！其中包括了有基礎知識、Linux必備、Mysql資料庫、抓包工具、介面測試工具、測試進階-Python程式設計、Web自動化測試、APP自動化測試、介面自動化測試、測試高階持續整合、測試架構開發測試框架、效能測試等。

這些測試資料，對於做【軟體測試】的朋友來說應該是最全面最完整的備戰倉庫，這個倉庫也陪伴我走過了最艱難的路程，希望也能幫助到你！