接口测试的流程和步骤(软件测试面试题目100及最佳答案)

大家好,我是老李,今天上午给大家分享了一篇关于《如何通过零信任架构实现 API 安全》的文章,主要介绍了API的安全授权问题。现在再给大家分享一个关于API接口渗透测试技巧的知识,希望能够给大家日常工作和学习带来启发。

1 API 接口介绍1.1 RPC(远程过程调用)

远程过程调用(英语:Remote Procedure Call,缩写为 RPC)是一个计算机通信协议。该协议允许运行于一台计算机的程序调用另一台计算机的子程序,而程序员无需额外地为这个交互作用编程。如果涉及的软件采用面向对象编程,那么远程过程调用亦可称作远程调用或远程方法调用,例:Java RMI。

RPC 一般直接使用 TCP 协议进行通信,通常不涉及到 HTTP。HTTP 下面有2种技术:

XML-RPC(https://zh.wikipedia.org/wiki/XML-RPC)JSON-RPC(https://zh.wikipedia.org/wiki/JSON-RPC)

Web service 和 RESTful API 都可算作远程过程调用的子集。

1.2 Web Service

Web Service 是一种服务导向架构的技术,通过标准的Web协议提供服务,目的是保证不同平台的应用服务可以互操作。

根据 W3C 的定义,Web 服务(Web service)应当是一个软件系统,用以支持网络间不同机器的互动操作。网络服务通常是许多应用程序接口(API)所组成的,它们透过网络,例如国际互联网(Internet)的远程服务器端,执行客户所提交服务的请求。

尽管W3C的定义涵盖诸多相异且无法介分的系统,不过通常我们指有关于主从式架构(Client-server)之间根据 SOAP 协议进行传递 XML 格式消息。无论定义还是实现,Web 服务过程中会由服务器提供一个机器可读的描述(通常基于WSDL)以辨识服务器所提供的 Web 服务。另外,虽然 WSDL 不是 SOAP 服务端点的必要条件,但目前基于Java 的主流 Web 服务开发框架往往需要 WSDL 实现客户端的源代码生成。一些工业标准化组织,比如 WS-I,就在 Web 服务定义中强制包含 SOAP 和 WSDL。

Web Service 是一种比较“重”和“老”的 Web 接口技术,目前大部分应用于金融机构的历史应用和比较老的应用中。

1.3 RESTful API

REST,全称是 Resource Representational State Transfer,通俗来讲就是,资源在网络中以某种表现形式进行状态转移。分解开来:

Resource:资源,即数据(前面说过网络的核心)。比如 newsfeed,friends等;Representational:某种表现形式,比如用JSON,XML,JPEG等;State Transfer:状态变化。通过HTTP动词实现。

RESTful API 就是符合 REST 风格的 API,传递数据也是2种形式:

XML,少见json,常见,现在 Web 应用基本使用这种形式的 API。1.4 MVC、MVP、MVVM

Web 应用程序和 APP 应用程序的 API 跟目前的流行框架和模式相关,主要有3种模式:MVC、MVP、MVVM。

MVC 将整个应用分成 Model、View 和 Controller 三个部分,而这些组成部分其实也有着几乎相同的职责。

视图:管理作为位图展示到屏幕上的图形和文字输出;控制器:翻译用户的输入并依照用户的输入操作模型和视图;模型:管理应用的行为和数据,响应数据请求(经常来自视图)和更新状态的指令(经常来自控制器);
API接口渗透测试技巧汇总

此类模式和架构的应用越来越多导致 API 接口的应用也越来越流行。想了解更多可以在网上查找相关资料。

2 API 测试环境和测试工具2.1 Web Service 测试2.1.1 找 Webservice 接口Google hackinginurl:jws?wsdlinurl:asmx?wsdlinurl:aspx?wsdlinurl:ascx?wsdlinurl:ashx?wsdlinurl:dll?wsdlinurl:exe?wsdlinurl:php?wsdlinurl:pl?wsdlinurl:?wsdlfiletype:jwsfiletype:asmxfiletype:ascxfiletype:aspxfiletype:ashxfiletype:dllfiletype:exefiletype:phpfiletype:plfiletype:wsdl wsdlfuzzing爬虫2.1.2 测试工具

涉及主要工具:

Soap UI PRO,渗透测试流程的发起,通信报文的解析、集合payload之后通信报文的重新组装等,14天试用,可以做自动化测试。SoapUI Free,手工测试SOAPSonar,SOAP UI 的替代。Burp Suite,代理拦截,跟踪通信过程和结果,对通信进行重放和二次处理等。WSSATWS-Attacker

2.1.3 测试项目

FuzzingXSS /SQLi/ Malformed XMLFile UploadXpath InjectionXML Bomb (DoS)Authentication based attacksReplay attacksSession fixationXML Signature wrappingSession timeoutHost Cipher Support/ Valid Certificate/ Protocol SupportHashing Algorithm Support2.1.4 手工测试方法

主要使用 Soap UI Open Source,有安全测试Case,需要配置 SOAP 代理到 Burp,数据流,现在的版本是5.4.0。

API接口渗透测试技巧汇总

代理配置

API接口渗透测试技巧汇总

可以用 Burp 重放 SOAP 的探测 Payload。使用 Soap UI Open Source,测试步骤:

创建工作空间新建 SOAP 项目增加 WSDL,配置名称和 WSDL 链接选择要测试的 TestSuite,增加一个安全测试选择测试的类型,运行测试2.1.5 自动化测试

SOAP 配置,2步,“File”-“Preference”-“Proxy”,设置 Burp 代理

API接口渗透测试技巧汇总

直接在 Soup UI 主菜单上选择运行一个测试。

API接口渗透测试技巧汇总

在弹出窗口中输入 WSDL 地址。

API接口渗透测试技巧汇总

SUAP UI 会自动探测接口。然后在项目-测试Case的右键菜单中选择安全测试

API接口渗透测试技巧汇总

运行安全测试。

API接口渗透测试技巧汇总

Burp 代理会捕获所有的测试请求

API接口渗透测试技巧汇总

其他工具介绍:WSSAT,选择加载存在 WSDL 列表的文件,运行。

API接口渗透测试技巧汇总

WS-Attacker

API接口渗透测试技巧汇总

AWVS 的扫描也能直接测试 Web Service

2.2 RESTful API 测试2.2.1 测试工具常见的浏览器插件Chrome Restlet Client
API接口渗透测试技巧汇总

– Firefox RESTClient

API接口渗透测试技巧汇总

客户端工具Postman
API接口渗透测试技巧汇总

– Swagger

通常使用 Postman 的情况多些,有机会的话问下开发如何配置测试环境,直接配置一套一样的。

Postman 的代理配置:

API接口渗透测试技巧汇总

3 常见 API 相关漏洞和测试方法

还是主要以 Restful API 说明。

3.1 逻辑越权类

本质上可以说是不安全的直接对象引用,可以通过修改可猜测的参数获取不同参数下的响应结果。参数可以是用户名、用户 ID,连续的数字,变形的连续数字(各种编码或哈希),通过直接修改参数值完成越权的操作。

示例:

输入控制类

XXE,Restful API 的注入漏洞,XSS,溢出,特殊字符的处理。

示例:

接口滥用

没有请求频率限制导致的各种爆破和遍历,如短信验证码爆破、登录爆破、手机号遍历、身份证遍历等。

示例:

信息泄露

包括越权导致的信息泄露、畸形请求导致的报错响应。

示例:

HTTP 响应头控制

关于响应头:

发送 X-Content-Type-Options: nosniff 头。发送 X-Frame-Options: deny 头。发送 Content-Security-Policy: default-src 'none' 头。删除指纹头 – X-Powered-By, Server, X-AspNet-Version 等等。在响应中强制使用 content-type。3.6 服务端配置漏洞

如服务端版本信息泄露,或服务端程序本身存在漏洞等。

4 API 安全加固

根据上面讲的测试方法,一般需要做好:

认证和授权控制用户输入控制接口请求频率的限制输出控制添加安全响应头参数

参考 API-Security-Checklist 和历史上的渗透测试结果设计适合自己组织的 API 安全开发规范。

参考

Web Service 的渗透测试参考:

Restful API 的参考:

来源:先知社区

本站部分内容由互联网用户自发贡献,该文观点仅代表作者本人,本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。

如发现本站有涉嫌抄袭侵权/违法违规等内容,请联系我们举报!一经查实,本站将立刻删除。

相关推荐

  • 胡锡进-鼓励储存必需品别解读歪了,如何利用储存必需品节省支出

    商务部网站1日晚发出《关于做好今冬明春蔬菜等生活必需品市场保供稳价工作的通知》,其中写道:“鼓励家庭根据需要储存一定数量的生活必需品,满足日常生活和突发情况的需要。” 资料图:民众排队做核酸检测。中新社记者 张兴龙 摄 当前的形势充满各种具体挑战,但统揽它的全貌,我们看到又是有序性和可控性都比较强。新冠疫情四处散发,带来了工作生活不便和一定的损失,但我们的预…

    2023-05-22
  • 艰难爱情有第二部吗(艰难爱情第二部剧情介绍)

    重阳节就快到了,咱们来认识两位长寿老人,他们是一对夫妻,从孩童时期就一起长大,到如今已经携手走过一个世纪,他们是一对羡煞旁人的神仙眷侣。接下来,一起听听他们的故事。 妻 黄为珍:我是黄为珍。 夫 庞家旺:黄为珍是我爱人。 妻 黄为珍:我们两个人结婚90年了。 夫 庞家旺:对,没错。 眼前这对银发夫妻今年分别97、96岁了,他们来自博白县,如今跟随儿子生活在南…

    2022-01-21
  • 新手如何通过网络挣钱(互联网最赚钱的行业)

    网上赚钱的技巧真的很多,比如卖产品、建网站、做网店生意、做直播等等。但其中只有两个行业我认为不管是前景还是获取财富,都是一片光明。 第一个是从事知识付费方面的培训行业,第二个是从事IP打造,创造个人的品牌价值。 互联网上开网店我是做的非常早的,在08年开始做网店,但是当时自己是一窍不通?我要做的就是利用自己尽可能多的时间学习充电。我的大学主修的和网络没有半毛…

    2021-11-12
  • 成语高手提现是真的吗?成语答题赚钱

    暑假两个多月,很多毕业的学生们在家闲来无事,又找不到一份好的兼职和工作时,通常都会选择用手机来赚钱。 不知道大家是否会在刷视频的时候刷到一些软件赚钱广告,用一些夸大的动作,夸张的广告词来作用营销噱头,来吸引客户,有些人会因为好奇,抱着试一试的心态下载。通常,你下载完之后,都会让你搞什么新用户注册,再发给你个新人红包,在尝试了甜头之后,便会步步跟着商家的套路深…

    2022-04-19
  • 中国好声音名单成员(中国好声音历届女学员名单)

    好声音》举办到第十年,不仅诞生了许多唱功出众的学员,更是涌现出了许多美女学员,她们的颜值,丝毫不逊色于那些当红女明星,让人无不顿生怜香惜玉之心。今天,我们就来盘点一下《好声音》史上的十大美女,看看谁才你心中的女神呢?   第十名:刘美麟 90分 来自《好声音》第八季的刘美麟勉强进入十大美女之列,总的来说颜值还是相当能打,属于妖艳型美女,全身上下透露…

    2021-12-15 投稿
  • 推广自己的网站(怎么推广自己的公司网站)

    自己建设了一个网站,如何让自己的网站快速的排名? 不断的更新你的网站,这样各个搜索引擎的数据会不断的累加,智能判断你的网站有人维护。 排名会慢慢上升。 不断的进行网上宣传,有人进来,留下网络痕迹,也可以提高你的排名和真实的流量。 在你的网站写一些或抄一些非常容易被人搜索的文章内容和标题,吸引别人的眼球和鼠标。 真正提高自己的管理水平,繁荣自己的网站。 自己到…

    2022-06-03
  • 精雕细刻对对子(精雕细刻对对子对什么)

    1000个成语两两相对,构成精妙的“对联”,给人以知识的启迪! 一身正气—两袖清风 请缨杀敌—投笔从戎 有血有肉—无影无踪 略施小技—大显神通 无缘无故—有始有终 无依无靠—何去何从 过河小卒—开路先锋 哗众取宠—卖友求荣 物华天宝—人杰地灵 好上加好—精益求精 勤勤恳恳—战战兢兢 归心似箭—守口如瓶 一毛不拔—孤掌难鸣 清茶淡饭—冷炙残羹 殷忧启圣—多难兴…

    2023-08-02 投稿
  • 综琼瑶之悲催的人生(综琼瑶之悲剧生活)

    琼瑶自己在采访中表示:“我有时候很难过,大家看我的作品,只接受情节,不接受思想,在对白里我交代了很多控诉,大家都没有看进去。” 琼瑶的作品一直面对质疑她很坦然。“我本来就是写小儿女呀,小儿女也代表着这世界上的一种人啊!我能做到读者跟着我的人物哭、跟着我的人物笑,这是我感到骄傲的地方。” 只一部《还珠格格》,她的小说、剧本、台词、故事的有趣性、人物的复杂性,都…

    2023-08-11 投稿
  • 郭士强年薪有多少?

    由于CBA商业化还不够完善,所以很多数据都没有进行公开,这里只说我们能够在公开报道上找到的数字。其实CBA教练的薪水差距还挺大的,最高的有年薪800万,最低的年薪30万,而有人月薪9000元,和普通上班族差不多。 根据公开的资料,本赛季之前薪水最高的CBA主教练是**人邓华德。作为前NBA助理教练,邓华德在2016年执教过新疆男篮,当时他的年薪是70万美金,…

    2022-04-21 投稿
  • 疯狂猜图三个字品牌(疯狂猜图两个字答案)

    元宵节作为我国的传统佳节,历年来,各大品牌除了前面一期给大家介绍各种借势技巧和套路#元宵节海报灵感合集#,其中最常见要数中国元宵节的传统习俗——猜灯谜,这招紧扣“欢喜闹元宵”的大众认知,确定了侧重消费者的参与感与互动性的借势口味。 在节日来临这一天,多数品牌们脑洞大开地在官方账号上发起“灯谜趣玩会”,将谜底藏于自家产品卖点之中,让人收获互动喜悦的同时,留下对…

    2023-08-24 投稿