本篇文章给大家谈谈api接口文档抓包,以及抓包获取api对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。
今天给各位分享api接口文档抓包的知识,其中也会对抓包获取api进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!
本文目录一览:
接口测试之fiddler抓包篡改(一)
本人软件测试小姐姐一枚,今天开始将日常学习的测试知识梳理总结分享哦。希望能和从事测试的小哥哥小姐姐一起进步,薪资蹭蹭往上涨。
接口是什么呢?接口作用是什么?我们为什么要做接口测试?什么是接口测试?接口测试怎样做呢?这都是我们测试经常接触到的专业名词。虽然我们经常接触接口但实际对他的概念还是很迷糊。首先从概念入手。
1、什么是接口?
我们经常在测试工作碰到哪个哪个口报错,这个口其实就是接口。接口是提供系统服务的一种渠道,用于数据交互。
2、接口实际就是用于数据包的交互,以百度搜索为例的数据包交互过程如下:
3、接口作用?
接口用于接收用户请求,提交到服务端进行运算,得出结果后,再由接口返回给用户端。
4、什么是接口测试?
API(Application Programming Interface)测试也就是接口测试。接口测试用于检测外部系统与系统之间以及系统内部各子系统之间的交互、数据传输和控制。
5、接口测试的必要性?
①大部分公司做的都是基于UI的功能测试,基于UI的功能测试虽包含接口相关内容,但仍无法对接口进行精准测试,前端会限制用户操作。
②大部分项目都是前后端分离,独立测试接口可以确保服务端的软件质量。
6、为什么使用抓包工具?
目前90%以上的接口都是基于 http/https的网络协议 。为了直观的获取所有接口在 传输时传递的数据包内容 ,提供对其的分析,并且更好的定位bug前后端具体位置,因此对接口的抓包是很有必要的。前端的开发者工具也算是一种抓包工具,抓包是对单个接口进行操作。
7、主流抓包工具:fiddler、Charles(主要用于http和https协议的抓包)、wireshark(抓取其他协议的包)。大部分都是使用fiddler和Charles抓包,我使用fiddler。
8、抓包工具的作用?
fiddler(抓包工具都以fiddler为例)设置断点,进行截包篡改操作。
9、fiddler抓包和Postman接口测试的区别?
抓包和接口测试还是有很大的区别的,不要把抓包就当成了接口测试。fiddler用于抓包,针对单个接口的操作;而Postman用于接口测试,是对整个系统的接口做自动化测试。
小红书API数据接口采集
基本环境
1、root的安卓手机一部。这里推荐 某米的手机
api接口文档抓包,其他型号手机解锁麻烦。
2、小红书的apk。多备几个,可以观察不同版本差异性。
3、抓包工具,
api接口文档抓包我用的是charles,个人用习惯
api接口文档抓包了。 能抓包就行,不做要求。
4、Windows系统
开始抓包
向往常一样,装证书,抓包,三下五除二搞完,发现抓包的时候,一直提示
api接口文档抓包:网络不可用、网络异常等字样。 此时脑海立马出现之前爬取的某款app也有同样情况。然后 尝试将证书装到系统目录下:
证书装到系统目录下方法:
将charles证书,利用OpenSSL命令:openssl x509 -inform PEM -subject_hash_old -in charles.pem 会生成 c957050g 若是cer证书用 DER
执行命令:cp charles.pem c957050g.0
手机用USB线连到电脑上,依次执行如下命令:adb push c957050g.0 /sdcard/
adb shell
su
mount -o rw,remount /system
mv /sdcard/c957050g.0 /system/etc/security/cacerts/
chmod 644 /system/etc/security/cacerts/c957050g.0
reboot
openssl 与 cp 命令 可以安装 GitBash,借助GitBash完成
adb命令需要安装 adb工具。安装方式自行百度
完成上面操作后,再抓包,正常抓取到数据。进行分析接口。
所有数据接口基本在 https://edith.xiaohongshu.com/api/sns/ 这个下面,
老版本基本在 https://www.xiaohongshu.com/api/sns/ 这个下面
搜索接口: /api/sns/v8/search/notes?keyword=%E9%A6%99%E5%A5%88%E5%84%BF63filters=sort=page=1page_size=20source=explore_feedsearch_id=927A522C26DC8FD699971F1B1C1F6838platform=AndroiddeviceId=560c6663-a66f-3aab-aff8-a8fe7bc48809device_fingerprint=20180711115937dab00272f54a61a24dbf8e788810c0ac01ea060ac16b8048device_fingerprint1=20180711115937dab00272f54a61a24dbf8e788810c0ac01ea060ac16b8048versionName=5.24.1channel=Sogousid=session.1220794269578290029⟨=zh-Hanst=1536298303sign=dd2764c4258e12db80fbe5df11e01af0
笔记详情接口: /api/sns/v1/note/feed?note_id=6208778400000000210350c9page=1has_ads_tag=false#=5fetch_mode=1source=exploreads_track_id=onlineswing_PAGETIME10_6208bb170000000001026d83%4029sgq68pxlmfug0s4pfq6from_rec_local=false
评论接口: /api/sns/v5/note/comment/list?note_id=6208778400000000210350c9start=621b4f88000000001302bb82#=15show_priority_sub_comments=0source=explore⊤_comment_id=shake_user=0
经过分析反复验证,其核心参数有
shield: 该参数主要与url 、xy-common-params、xy-platform-info、data、 user-agent等参数有关。
sid: 调/api/sns/v1/user/activate接口 post提交可得到。
数据接口如下:
目前已封装好,采集接口稳定,如需进一步拿更多数据,欢迎加我进行探讨
286493339
如何确保API接口安全呢?
目前大量互联网公司和传统软件公司都在项目上大量采用前后端分离,这也是体现 社会 化分工更加明晰,Web端、App端和小程序 都涉及调用后端接口,传输的时候如何防止被抓包、偷窥、伪造、超时、重放。
token授权认证:防止未授权用户获取数据、时间戳:防止超时重放、签名:防止数据篡改
HTTPS:防止数据明文传输
如果时间差大于一定时间(比如:1分钟),则认为该请求失效,防止超时重放
比如queryString、header、body,将它们按顺序拼接成一个字符串,然后使用秘钥签名,防止数据被篡改。如果传输不敏感信息,仅仅为了防篡改,可以使用签名;
每次HTTP请求,都需要加上timestamp参数,然后把timestamp和其他参数一起进行数字签名。因为一次正常的HTTP请求,从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间相比较,是否超过了60s,如果超过了则认为是非法的请求。
每次请求生成一个唯一流水号,存放到缓存中,如果下次再使用相同的流水号请求就拒绝,防重放
HTTP协议是以明文方式发送内容,因此不适合传输一些敏感信息
HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为客户端和服务器之间的通信加密
APP比较特殊,攻击者可以反编译源码,所以不可以在APP中存放秘钥,曾经见过有公司APP使用OAuth的Client Credential授权方式,将ClientID和ClientSecret存放在APP端,app启动时获取Token,肯定不安全应该使用APP使用者的用户名密码登录获取Token,配合使用签名、时间戳、流水号、HTTPS
接口测试面试题,等你来看
1.你们公司的接口测试流程是?
接口测试我们是在xx项目做的,主要有xx接口,xx接口等
1.首先是从开发那里拿到API接口文档,了解接口业务、包括接口地址、接口方式、入参、出参、token鉴权,返回格式等信息。
2.然后使用postman或jmeter工具执行接口测试,一般使用Jmeter的步骤是这样的:
3.最后调试并执行用力,最后编写接口测试报告。
4.其实我们做接口的时候也碰到过很多的问题,都是自己独立解决的,比如返回值乱码(修改jmeter的配置文件为UTF-8编码方式),比如需要登陆后才能取得token鉴权编码并且这个鉴权码在下面的请求中需要用到(使用正则表达式提取器提取token的值等等。
2.简述cookie、session及token的区别
1.cookie数据存放在客户的浏览器上,session数据放在服务器上。而token是接口数据的鉴权码,一般情况下登录后才可以获取到token,然后在每次请求接口时需要带上token参数。
2.cookie不是很安全,别人可以分析存放在本地的cookie并进行cookie欺骗,考虑到安全应到使用seesion,seesion会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,考虑到减轻服务器性能方面应当使用cookie。
3.可以将登录信息等重要信息存放为session;其他信息需要保存,可以放在coolie。
3.对于加密接口,如何进行测试?
在调用接口的时候,要搞清楚接口的加密方式是什么。
如果是对称加密,要先从开发哪里获取对称密钥,基于对称密钥可以加密请求数据,以及解密响应报文。
如果是非对称加密,先从开发获取服务器公钥和私钥,也要知道当前用户的公钥和私钥信息。以便完成接口的数据加密和解密。
4.接口测试执行中比对数据库吗?
肯定,因为接口返回值的数据来源于数据库,接口对数据的操作还要进行深层次的数据库检查!
5.如何分析一个bug是前端还是后端
这种情况很容易判断,先抓包看请求报文,对着接口文档,看请求报文有没有问题,有问题就是前端发的数据不对;
请求报文没问题,那就看返回报文,返回的数据不对那就是后端开发的问题。
6.谈谈你对HTTP协议的了解?
超文本传输协议,端口为80,特点(无记忆功能、快速)是由请求和响应两部分组成请求由请求头、请求行、请求正文组成;响应是由响应头、响应行、响应正文组成,之前我们公司的接口是采用https协议的。
httpshttp+ssl协议端口443面向安全的超文本传输协议。
7.get和post请求有什么区别?
get和post请求都是客户端向服务器提交的一种请求方式;
get是明文传输参数、倾向于请求服务器资源。比如打开网站;
post传输数据不可见,安全性高,倾向于向服务器提交数据,比如注册等。
8.依赖于第三方数据的接口如何进行测试
可以使用SoapUI等工具直接调用第三方数据接口的webservice,通过返回值来查看第三方数据的接口是否调用正常。
也可以利用一些工具来模拟第三方的数据返回,最大限度地降低对第三方数据接口的依赖。
9.接口测试中要注意的测试点有哪些?
接口中返回了图片地址,要手工去进行图片的测试(大小、内容);
接口完成查询功能的时候,数据返回的排序显示;
10.接口执行测试返回结果比对哪部分?
之前必须要对比的就是返回状态码,其次再去对比返回其它关键内容。
11.做接口测试工作的意义是什么?
这个是开发性题目,面试官主要考察对测试的理解。
根据测试的金字塔模型来说接口测试是测试左移的最方便,最简单的测试,当然最厉害的测试是做白盒测试,这个是在接口测试之前,相对于单元测试。
12.用过抓包工具吗?如何使用?
之前在项目中用过fiddler抓包工具进行HTTP协议请求的抓取。
打开fiddler之后,默认浏览器配置了127.0.0.18888端口的代理,在fiddler设置好过滤策略后,打开需要进行抓包的网站进行操作,就可以进行抓包。
13.接口测试中需要哪些注意点?
14.postman中设置环境变量有什么用?
在之前项目中,接口测试测试的环境有开发环境,测试环境等,为了测试的时候方便,就在postman设置环境变量,到时所有接口都引用该环境变量,这样就不用为了切换环境导致每次都去修改被测系统接口的主机地址;点击右上角环境变量管理按钮-新建环境变量,在脚本中使用{undefined{变量名}}去调用。
15.关联是什么?如何postman设置关联?
关联就是把上一个接口返回值的部分截取出来,作为下一个接口的参数,能让接口串联运行。
在postman中设置关联的步骤如下:
先通过正则表达式提取的方式或json取值的方式把下一个接口需要的信息从上一个接口截取出来;
使用设置全局变量的代码把取出来的值保存到全局变量;
在下一个接口中,使用{undefined{全局变量}}代替要替换的静态值。
如何保证API接口安全?
在实际的业务开发过程中,我们常常会碰到需要与第三方互联网公司进行技术对接,例如支付宝支付对接、微信支付对接、高德地图查询对接等等服务,如果你是一个创业型互联网,大部分可能都是对接别的公司api接口。
当你的公司体量上来了时候,这个时候可能有一些公司开始找你进行技术对接了,转变成由你来提供api接口,那这个时候,我们应该如何设计并保证API接口安全呢?
最常用的方案,主要有两种:
其中 token 方案,是一种在web端使用最广的接口鉴权方案,我记得在之前写过一篇《手把手教你,使用JWT实现单点登录》的文章,里面介绍的比较详细,有兴趣的朋友可以看一下,没了解的也没关系,我们在此简单的介绍一下 token 方案。
从上图,我们可以很清晰的看到,token 方案的实现主要有以下几个步骤:
在实际使用过程中,当用户登录成功之后,生成的token存放在redis中时是有时效的,一般设置为2个小时,过了2个小时之后会自动失效,这个时候我们就需要重新登录,然后再次获取有效token。
token方案,是目前业务类型的项目当中使用最广的方案,而且实用性非常高,可以很有效的防止黑客们进行抓包、爬取数据。
但是 token 方案也有一些缺点!最明显的就是与第三方公司进行接口对接的时候,当你的接口请求量非常大,这个时候 token 突然失效了,会有大量的接口请求失败。
这个我深有体会,我记得在很早的时候,跟一家中、大型互联网公司进行联调的时候,他们提供给我的接口对接方案就是token方案,当时我司的流量高峰期时候,请求他们的接口大量报错,原因就是因为token失效了,当token失效时,我们会调用他们刷新token接口,刷新完成之后,在token失效与重新刷新token这个时间间隔期间,就会出现大量的请求失败的日志,因此在实际API对接过程中,我不推荐大家采用 token方案。
接口签名,顾名思义,就是通过一些签名规则对参数进行签名,然后把签名的信息放入请求头部,服务端收到客户端请求之后,同样的只需要按照已定的规则生产对应的签名串与客户端的签名信息进行对比,如果一致,就进入业务处理流程;如果不通过,就提示签名验证失败。
在接口签名方案中,主要有四个核心参数:
其中签名的生成规则,分两个步骤:
参数2加密结果,就是我们要的最终签名串。
接口签名方案,尤其是在接口请求量很大的情况下,依然很稳定。
换句话说,你可以将接口签名看作成对token方案的一种补充。
但是如果想把接口签名方案,推广到前后端对接,答案是:不适合。
因为签名计算非常复杂,其次,就是容易泄漏appsecret!
说了这么多,下面我们就一起来用程序实践一下吧!
就像上文所说,token方案重点在于,当用户登录成功之后,我们只需要生成好对应的token,然后将其返回给前端,在下次请求业务接口的时候,需要把token带上。
具体的实践,也可以分两种:
下面,我们介绍的是第二种实现方式。
首先,编写一个jwt 工具。
接着,我们在登录的时候,生成一个token,然后返回给客户端。
最后,编写一个统一拦截器,用于验证客户端传入的token是否有效。
在生成token的时候,我们可以将一些基本的用户信息,例如用户ID、用户姓名,存入token中,这样当token鉴权通过之后,我们只需要通过解析里面的信息,即可获取对应的用户ID,可以省下去数据库查询一些基本信息的操作。
同时,使用的过程中,尽量不要存放敏感信息,因为很容易被黑客解析!
同样的思路,站在服务端验证的角度,我们可以先编写一个签名拦截器,验证客户端传入的参数是否合法,只要有一项不合法,就提示错误。
具体代码实践如下:
签名工具类 SignUtil :
签名计算,可以换成 hamc 方式进行计算,思路大致一样。
上面介绍的token和接口签名方案,对外都可以对提供的接口起到保护作用,防止别人篡改请求,或者模拟请求。
但是缺少对数据自身的安全保护,即请求的参数和返回的数据都是有可能被别人拦截获取的,而这些数据又是明文的,所以只要被拦截,就能获得相应的业务数据。
对于这种情况,推荐大家对请求参数和返回参数进行加密处理,例如RSA、AES等加密工具。
同时,在生产环境,采用 https 方式进行传输,可以起到很好的安全保护作用!
软件测试--接口测试入门
一、什么是接口测试
接口测试顾名思义就是对测试系统组件间接口的一种测试,接口测试主要用于检测外部系统与系统之间以及内部各个子系统之间的交互点。测试的重点是要检查数据的交换,传递和控制管理过程,以及系统间的相互逻辑依赖关系等。
二、如何进行接口测试
进行接口测试之前我们需要获取接口信息,一般是接口文档,没有接口文档的通过抓包获取接口信息。
接口测试需要的主要信息有:
1、url:接口地址
2、header头部
3、请求方法get、post或者其他方式
4、body参数
把这些信息填写到接口工具点击发送然后查看响应数据,以访问百度页面为例子
输入url地址:http://www.baidu.com,header头部为空不用填写,请求方式选择为get,body参数为空,点击发送,查看响应结果
在进行一个简单的post登录请求,输入url地址、请求方法post,header头部为空,输入body参数
三、接口测试使用的工具
接口测试使用的是国产的接口测试、接口协作和接口文档生成工具apipost,支持接口测试、接口流程化测试、团队之间的接口开发协作还有生成完整的接口文档,包括:在线接口文档、markdown文档和word文档。
关于api接口文档抓包和抓包获取api的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。
api接口文档抓包的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于抓包获取api、api接口文档抓包的信息别忘了在本站进行查找喔。
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。
暂时没有评论,来抢沙发吧~