渗透测试之API接口测试

原创作者:TrueBW,作者博客:https://blog.csdn.net/weixin_39190897接口测试API:Application Programming Interface,即应用程序编程接口。接口就是一个位于复杂系统之上并且能简化你的任务,它就像一个中间人让你不需要了解详细的所有细节。那我们今天要讲的Web API就是这么一类东西。像谷歌搜索系统,它提供了搜索接口,简化了你的搜索任务。再像用户登录页面,我们只需要调用我们的登录接口,我们就可以达到登录系统的目的。一个API中通常包含的结构有:结构释义Method请求方法URL唯一资源定位符Params请求参数Authorization认证方式Headers请求消息头Body消息体本文记录的是Postman(API 接口测试工具)学习,以及一些接口测试概念。帮助大家建立接口测试的整体概念,以及学会Postman工具的使用。

接口测试的作用:

接口测试的内容:

接口测试工具Postman的特点:使用简单,上手快,很适合调试;但保存请求,批量运行时,执行速度慢,建议使用Jmeter工具。PostmanPostman直接官网下载:https://www.postman.com/downloads/,双击自动安装,打开注册后即可运行。

Postman的界面如下:

Get请求直接看一个Get请求类型的API接口测试实例,以下是接口开发文档对接口参数的具体描述:

Postman新建请求后直接发送以下接口测试请求:

【注意】对于GET请求,可以直接点击Params,输入多个参数名称及value(键对值),即可自动添加在URL链接上,如下图所示:

关于接口开发文档,测试过程中可以找开发人员要,格式参考:API接口文档。【注意】进行API接口安全测试时,一般不需要安全人员自己构造数据包, 客户会提供一个测试demo程序(HTML网页形式的),demo中已包含所有功能已经构造好的数据包,只需在页面上直接改请求参数内容然后点发送即可。因为客户自己的测试人员平时做业务功能测试时,也都是有现成的测试 demo的,不可能在Postman中一个一个手动构造请求去测试。Post请求同样直接看一个Post请求类型的API接口测试实例,以下是接口开发文档对接口参数的具体描述:

Postman新建请求后直接发送以下接口测试请求:

【注意】上述请求头是根据请求参数的形式自动生成的。请求头中的Content-Type与请求参数的格式之间是有关联关系,比如:

添加请求头对于某些API接口,可能需要添加特定的请求头信息进行身份认证才能进行访问,比如 Sign、Token、Cookie、Authorization 等。在Postman中可直接通过 Headers 添加(以下实例的sign值为“用户名 密码”的32位MD5值):

或者使用专门的 Authorization 模块进行添加:

图示的几种身份认证方式简述如下:认证方式简述No Auth即不需要认证,这是默认选中的Bearer Toker填写Token进行验证Basic Auth输入用户名和密码,直接明文发送数据Digest Auth摘要认证,在基本身份认证上面扩展了安全性OAuth 2.0一个开放授权协议,详情参见理解OAuth 2.0这里补充下摘要认证方式:消息摘要式身份认证在基本身份认证上面扩展了安全性,服务器为每一个连接生成一个唯一的随机数,客户端用这个随机数对密码进行MD5加密,然后返回服务器,服务器也用这个随机数对密码进行加密,然后和客户端传送过来的加密数据进行比较,如果一致就返回结果。_____ end _____关注公众号:HACK之道

(0)

相关推荐

  • 使用Postman做API自动化测试

    Postman最基本的功能用来重放请求,并且配合良好的response格式化工具. 高级点的用法可以使用Postman生成各个语言的脚本,还可以抓包,认证,传输文件. 仅仅做到这些还不能够满足一个系统 ...

  • 二、如何使用postman做接口测试笔记(二)

    常用的接口测试工具主要有以下几种: Postman: 简单方便的接口调试工具,便于分享和协作.具有接口调试,接口集管理,环境配置,参数化,断言,批量执行,录制接口,Mock Server, 接口文档, ...

  • Python之API:基于python语言调用华为云API(华为网站)实现特定功能

    Python之API:基于python语言调用华为云API(华为网站)实现特定功能 相关文章 Python之API:基于python语言调用华为云API(华为网站)实现特定功能 Python之API: ...

  • postman使用教程2-发 post 请求(json和urlencoded)

    前言 使用 postman 发送 http 协议 post 请求,两种请求参数类型application/json 和 application/x-www-from-urlencoded. appli ...

  • Postman关联与参数化

    时间主题10.29(周二)20:00 讲师养成之云层12年经验分享10.30(周三)20:00Postman进阶接口测试 在周三的测试运维试听课程中,芒果给大家我们常用的接口测试工具Postman的进 ...

  • 接口测试笔记

    Apache - Jmeter 安装方法: 准备好Jmeter安装包,解压到D盘jmeter文件夹 此软件依赖于jdk 打开环境变量,新建系统变量JMETER_HOME,路径为自己jmeter的bin ...

  • postman使用教程6-引用随机变量($guid,$timestamp,$randomInt)

    前言 在接口测试中,有些接口的请求参数具有唯一性,比如注册接口,注册一个账号后就不能重复注册了. 为了能重复执行这个接口,可以在请求前清理测试数据,也可以把请求的参数设置成一个可变的值(每次不一样), ...

  • 一位同事因为不了解接口测试被直接被上司扫地出门

    接口测试系列 为什么要做这个事情? 对自己过往在接口测试上的经验,写一个小结的还有对于自己同事的这件事感到无能为力,希望写出这篇文章能给你们带来一点点帮助,这篇博文写的是一个系统性的思考和知识构建.发 ...

  • 【竺】Postman实操1

    【竺】Postman实操1

  • 渗透测试之SQL注入基础

    渗透测试之SQL注入基础 SQL注入类型 按照数据类型类型来分类 按照执行效果来分类(页面回显效果) 按照数据提交的方式来分类 判断注入类型的方法 MySQL注入基础 联合查询注入 布尔注入 时间盲注 ...

  • 戳~API接口测试及常用的接口测试工具!

    前言 系统对外的接口:比如你要从别的网站或服务器上获取资源或信息,别人肯定不会把数据库共享给你,他只能给你提供一个他们写好的方法来获取数据,你引用他提供的接口就能使用他写好的方法,从而达到数据共享的目 ...

  • Xmeter API接口测试工具使用方法解析

    这篇文章主要介绍了Xmeter API接口测试工具使用方法解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 XMeter API提供了基于JMet ...

  • 渗透测试之XSS(四)

    DOM型XSS DOM其实是一种特殊的反射型XSS,它是面向于DOM文档的模型的漏洞.DOM的整个过程都是在前端完成的,没有后端的参与(纯前端的操作!),所以该类型的XSS漏洞比较鸡肋,没有太大作用. ...

  • 渗透测试之XSS(二)

    反射型XSS 反射型XSS又被称之为非持久型XSS,因为这种攻击是一次性的,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面. 我们来到xss-la ...

  • 渗透测试之XSS

    一.什么是XSS XSS(Cross Site Scripting)跨站脚本诞生于1996年.XSS一直被OWASP(Open Web Application Security Project)组织评 ...

  • 功能测试,接口测试,自动化测试,压力测试,性能测试,渗透测试,安全测试,具体是干嘛的?

    软件测试是一个广义的概念,他包括了多领域的测试内容,比如,很多新手可能都听说:功能测试,接口测试,自动化测试,压力测试,性能测试,渗透测试,安全测试等,这些专业名词,但是绝大多数人都对这些名词一知半解 ...

  • 陈根:塑料的渗透,从海洋到海归

    文/陈根 材料是人类社会发展的基础和先导,高分子材料,如塑料.橡胶和合成纤维等具有密度小.易加工.高性能.多功能等优异性能,广泛应用于国民经济各领域. 其中,塑料工业可以说是国民经济的支柱产业,但不规 ...

  • 浅谈小学体育教学中如何渗透环保教育

    泰来县江桥镇中心小学    张春雨 环境是人类生存的基本条件,是人类赖以生存的基础.当前生态环境日趋恶劣,一次又一次给人类敲响了警钟,为了我们现在和以后的世世代代,保护和改善人类环境,已经成为人类一个 ...