api接口安全测试（api接口安全性）

本篇文章给大家谈谈api接口安全测试，以及api接口安全性对应的知识点，希望对各位有所帮助，不要忘了收藏本站喔。 今天给各位分享api接口安全测试的知识，其中也会对api接口安全性进行解释，如果能碰巧解决你现在面临的问题，别忘了关注本站，现在开始吧！

本文目录一览：

• 1、api接口测试的步骤
• 2、API_接口测试规范
• 3、发现api接口个人信息泄露怎么处理

api接口测试的步骤

1、拿到接口文档的时候先分析文档，分析的内容有：请求类型、必填项、选填项、入参、出参及描述
2、编写测试用例，测试用例的编写参考下图；

3、利用eolinker、jmeter或者其它接口测试工具执行测试用例；

（在接口没有问题的情况下，前端测试出的bug都属于前端开发人员）
5、接口测试完成后再进行前端的功能及UI交互测试；
6、提交buglist清单，修复后一定要回归测试。

具体可以在eolinker在线使用了解： www.eolinker.com

API_接口测试规范

一、接口测试

接口测试主要用于检测外部系统与系统之间以及内部各个子系统之间的交互。测试的重点是要检查数据的交换，传递和控制管理过程，以及系统间的相互逻辑依赖关系等。

二、接口测试的意义

按照分层测试模型，处于中间层的接口测试，在稳定性，效率，成本，技术，实施难度上综合来讲，是收益最大的。相较于传统的UI层次的测试，接口测试把测试提前api接口安全测试了（时间上，架构上），并且能够覆盖到一些UI测试无法触及的功能点，提高了测试的覆盖率，对质量控制提升了信心。接口测试也更容易实现自动化持续集成，支持后端快速发版需求，利于CT（持续测试）的开展。
三、认识URL

接口主要分为2大类api接口安全测试：

1.webservice接口

webService接口是走soap协议通过http传输，请求报文和返回报文都是xml格式的，我们在测试的时候都用通过工具（例如：soapUI）进行调用，测试。【暂时业务上用不到，不扩展】

2.http 接口

Http协议是建立在TCP协议基础之上的，当浏览器需要从服务器获取网页数据的时候，会发出一次Http请求。Http会通过TCP建立起一个到服务器的连接通道，当本次请求需要的数据完毕后，Http会立即将TCP连接断开，这个过程是很短的。所以Http连接是一种短连接，是一种无状态的连接。

3.URL解析

    在WWW上，每一信息资源都有统一的且在网上唯一的地址，该地址就叫URL（Uniform Resource Locator,统一资源定位符），它是WWW的统一资源定位标志，就是指网络地址。HTTP协议工作于客户端-服务端架构之上。浏览器作为HTTP客户端通过URL向HTTP服务端即WEB服务器发送所有请求。Web服务器根据接收到的请求后，向客户端发送响应信息。

 URL由三部分组成：资源类型、存放资源的主机域名、资源文件名。

也可认为由4部分组成：协议、主机、端口、路径

URL的一般语法格式为(带方括号[]的为可选项)：【参考 URL百度百科 】

protocol :// hostname[:port] / path / [;parameters][?query]#fragment

以下面的URL为例：

http://blog.xx.com.cn/s/blog_537ad6610102xtb1.html?tj=hist

1)、协议部分，代表页面使用的是http协议，在Internet中可以使用多种协议，如HTTP，FTP等等。在"HTTP"后面的“//”为分隔符api接口安全测试；

2)、域名部分， blog.xx.com.cn ，也可以使用IP地址作为域名使用如：192.168.55.14:8080，其中8080为端口，域名和端口之间使用“:”作为分隔符。端口不是一个URL必须的部分，如果省略端口部分，将采用默认端口80/tcp；

3)、虚拟目录部分，从域名后的第一个“/”开始到最后一个“/”为止，是虚拟目录部分。虚拟目录也不是一个URL必须的部分。本例中的虚拟目录是“/s/”

4)、文件名部分：从域名后的最后一个“/”开始到“？”为止，是文件名部分，如果没有“?”,则是从域名后的最后一个“/”开始到“#”为止，是文件部分，如果没有“？”和“#”，那么从域名后的最后一个“/”开始到结束，都是文件名部分。本例中的文件名是“blog_537ad6610102xtb1.html”。文件名部分也不是一个URL必须的部分，如果省略该部分，则使用默认的文件名

5)、锚部分：从“#”开始到最后，都是锚部分。锚部分也不是一个URL必须的部分（可以理解为定位）

6)、参数部分：从“？”开始到“#”为止之间的部分为参数部分，又称搜索部分、查询部分。本例中的参数部分为“7.参数部分：从“？”开始到“#”为止之间的部分为参数部分，又称搜索部分、查询部分。本例中的参数部分为“boardID=5ID=24618page=1”。参数可以允许有多个参数，参数与参数之间用“”作为分隔符。”。参数可以允许有多个参数，参数与参数之间用“”作为分隔符。

四、测试范围及用例设计思路

接口测试范围分为以下5个方向：
五、测试流程

分析接口文档和需求文档（接口说明、请求方式、请求URL、请求参数、返回数据、返回实例）

接口用例设计   

编写接口测试用例

接口测试执行

输出接口测试报告。

六、如何快速评估自己的测试用例覆盖率：

1）参数验证是否完整（包括各种边界和业务规则）

2）业务需求点覆盖是否完整（单接口业务功，依赖接口业务功能）

3）接口异常场景覆盖是否完整（数据的异常）

八、接口测试用途

回归测试

非功能性测试

增量开发，持续集成的项目。

发现api接口个人信息泄露怎么处理

可以使用非对称加密、MD5 摘要以及令牌机制进行预防和阻击。使用Eolinker Api 测试工具对API接口信息进行加密，使得接口调用更加安全放心。
开放 API 平台生成公钥和私钥，并将公钥对外公布，提供给需要对接 API 的人员。对接 API 的人员将用户的数据使用公钥进行加密传输，即使有黑客使用抓包工具截取到了报文，但是由于解密用户数据只能使用 API 平台自己拥有的私钥才能解密，所以即使报文数据泄露，由于没有钥匙解开传输的信息，黑客获得了报文也无可奈何，非对称加密解决了用户传输用户名、密码等敏感信息泄露的问题。
RSA 与 HTTPS 的对比
如果条件允许，建议开放 API 接口都使用 HTTPS 协议传输数据。使用 HTTPS 传输相较于 RSA 加密更安全。HTTPS顾名思义，即安全的 HTTP，HTTPS 的主要作用是确认双方的身份和建立安全通道，保证传输数据的安全。
HTTPS 既用到了非对称加密，也用到了对称加密。相较于 RSA 加密，RSA 加密实现的，HTTPS 都能实现。但是 HTTPS 存在维护成本高、服务器开销大、需要购买证书、性能相对低的问题，所以出于成本的考虑不能使用 HTTPS，使用 RSA 加密算法是最优的选择。使用Eolinker API接口测试工具选择HTTPS方式进行接口测试。如图2
令牌鉴权
令牌可以理解为通行证，开放 API 接口暴露在公网之后就相当于一个敞开大门一样，所有人都可以随意进出，对于豪宅内的财产而言，这是很不安全的。
这时就需要一个保安查看进出人员的通行证，只有获得通行许可的人员可以进出，没有通行证的人员一律会被拦在大门外，不得进入。
同样对于开放 API 接口而言，如果没有令牌机制，所有人都可以通过接口获取数据，造成平台数据流失，给公司和客户造成不可估量的损失。所以使用令牌进行鉴权是非常有必要的。
开放 API 调用方需要在每一次接口调用中都携带令牌，服务器则在过滤器中进行令牌的校验，包含校验令牌是否存在、令牌是否已经过期等。如果令牌在 REDIS 缓存服务器中不存在，或者令牌已过期，则接口服务器直接返回异常信息，由接口调用方进行捕获，强制客户重新登录获取新的令牌，再进行后续操作。 关于api接口安全测试和api接口安全性的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。 api接口安全测试的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于api接口安全性、api接口安全测试的信息别忘了在本站进行查找喔。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。