接口安全简单渗透测试说明

您的位置：
门户
>> 文章精选
>> 软件测试技术
>> 功能测试
>> 查看资讯

发表于：2021-5-07 09:31

字体：大中小 | 上一篇 | 下一篇 | 我要投稿

作者：Loren麟来源：FreeBuf

软件测试技术

功能测试

　　接口分类

　　从平台划分：分为内部接口和外部接口。

　　从类型/协议来说：分为http接口和soap （webservice）接口。

　　http接口：通过get和post来获取数据，在数据处理上效率比较高。

　　webservice接口：通过soap协议来获取数据，比起http来说能处理更加复杂的数据类型。

　　但从实质上来说soap请求也是http类型的请求，只。不过把http类型加封一层 webservice协议，所以就变成了soap类型请求。

　　http接口:基于HTTP协议的开发接口.这个并不能排除没有使用其他的协议。

　　api接口:API（Application Programming Interface）应用程序编程接口，应用也包括网络应用程序，就像api文档基本上就是使用说明书，API接口可以简单理解成“应用程序使用接口”。

　　RPC接口：Remote Procedure Calls 远程过程调用 (RPC) 是一种协议，程序可使用这种协议向网络中的另一台计算机上的程序请求服务。由于使用 RPC 的程序不必了解支持通信的网络协议的情况，因此 RPC 提高了程序的互操作性。在 RPC 中，发出请求的程序是客户程序，而提供服务的程序是服务器。 RPC（远程过程调用）是一项广泛用于支持分布式应用程序（不同组件分布在不同计算机上的应用程序）的技术。RPC 的主要目的是为组件提供一种相互通信的方式，使这些组件之间能够相互发出请求并传递这些请求的结果。没有语言限制。

　　RMI：RMI（Remote Method Invocation，远程方法调用）RMI是针对于java语言的， RMI 允许您使用Java编写分布式对象。

　　Webservice接口：Webservice是系统对外的接口，比如你要从别的网站或服务器上获取资源或信息，别人肯定不会把数据库共享给你，他只能给你提供一个他们写好的方法来获取数据，你引用他提供的接口就能使用他写好的方法，从而达到数据共享的目的。

　　RESTful：简称 REST,是描述了一个架构样式的网络系统，其核心是面向资源，REST专门针对网络应用设计和开发方式，以降低开发的复杂性，提高系统的可伸缩性。REST提出设计概念和准则为：

　　1.网络上的所有事物都可以被抽象为资源(resource)。

　　2.每一个资源都有唯一的资源标识(resource identifier)，对资源的操作不会改变这些标识。

　　3.所有的操作都是无状态的。

　　http和webservice接口区别:

　　httpservice通过post和get得到你想要的东西。

　　webservice就是使用soap协议得到你想要的东西，相比httpservice能处理些更加复杂的数据类型。

　　http协议传输的都是字符串了，webservice则是包装成了更复杂的对象。

　　hessian类似于webservice，但是它采用的是二进制RPC协议（Binary），具有轻量、传输量小、平台无关的特点，特别适合于目前网络带宽比较小的手机网络应用项目。

　　测试工具

　　Burp Suite，代理拦截，跟踪通信过程和结果，对通信进行重放和二次处理等。

　　SOAP, WebService通过Http协议发送请求和接收结果时，发送的请求内容和结果内容都采用XML格式封装，并增加了一些特定的HTTP消息头，以说明HTTP消息头的内容格式，这些特定的HTTP消息头和XML内容格式就是SOAP协议。SOAP提供了标准的RPC方法来调用WebService。

　　AWVS, 扫描工具,就不在废话了。

　　SOAP测试方法

　　first

　　我们要先将我们想要测试的接口找到可以利用Google hacking 当然要是目标测试就简单了我们可以寻找类似的关键词。