网络安全中接口测试的解决方案
Eolink新一代API测试神器
- 一、接口测试
- 1、接口
- 2、接口测试
- 二、网络安全中的接口测试,具体场景
- 1、接口安全测试
- 2、传统测试工具
- 3、具体测试场景
- 三、Eolink的解决方案
- 1、解决传统测试的痛点
- 2、Eolink 测试接口
- 四、Eolink的使用体验
- 五、Eolink评价
- 1、网络安全行业内
- 2、就我来说
一、接口测试
1、接口
接口即API:Application Programming Interface,即应用程序编程接口。接口就是一个位于复杂系统之上并且能简化你的任务,它就像一个中间人让你不需要了解详细的所有细节。像谷歌搜索系统,它提供了搜索接口,简化了你的搜索任务。再像用户登录页面,我们只需要调用我们的登录接口,我们就可以达到登录系统的目的。
2、接口测试
接口测试是测试系统组件间的接口,主要用于检测外部系统与系统之间以及内部各个子系统之间的交互点。测试的重点是要检查接口参数传递的正确性,接口功能实现的正确性,输出结果的正确性,以及对各种异常情况的容错处理的完整性和合理性。
二、网络安全中的接口测试,具体场景
1、接口安全测试
网络安全中对于接口的测试主要是保证接口在运行中的质量、功能安全。
API接口安全测试是通过用API检测的方法测试系统组件间接口的一种测试。接口安全测试主要用于检测外部系统与系统之间以及内部各个子系统之间的交互点。测试的重点是要检查数据的交换,传递和控制管理过程,以及系统间的相互逻辑依赖关系等。
网络安全接口测试主要针对WEB接口、TCP接口、其他特定接口的测试。2017年,OWASP 组织根据近几年安全攻击趋势,发布了OWASP top 10(2017),其中**【A10-未受到充分保护的API】**为新增的最新十大安全威胁之一。以下是网络安全中常见的接口测试分类
2、传统测试工具
在传统的接口安全测试时针对Web API、和TCP/UDP Socket API使用的工具如下。
Web API测试
Web API 测试主要参考常规web测试,使用burpsuite、fiddler、Firefox-hackbar插件等集成安全测试工具对API接口进行分析、测试。TCP/UDP Socket API测试
Sockket API测试使用SocketTool等socket数据包测试工具,以及开发接口的公司使用的专用测试工具或者自己编写的测试脚本进行分析、测试。使用wireshark进行数据包流量分析。其他接口
其他接口测试,主要使用wireshark、SocketTool、自主编写的测试(FUZZ)脚本等进行测试。
对于Web API、和TCP/UDP Socket API的测试就要使用至少3种工具才能完成接口测试工作,这样一来大大的拉低了测试效率。最近在发现了一款宝藏接口测试工具,他能支持各种协议下的API测试,在不同的场景下能更好的适应。咱们先把网络安全背景下的具体测试场景介绍完,然后再来看看这款工具到底强大在哪里。
3、具体测试场景
接口滥用测试
测试对外提供服务接口是否有防滥用机制,例如查询相关信息接口,一方面如果未对接口进行查询次数控制,则会导致大量信息泄露,另一方面,频繁的查询会对服务器性能造成影响如对方频繁恶意进行接口调用,则会导致接口性能下降,影响业务(基于业务的DDOS攻击)。建议进行接口设计时设计接口阈值,对接口访问频率设置阈值,超出设定的访问频率时返回错误码,对超过阈值的请求进行屏蔽及预警,可以一定程度上防止CC攻击。
测试步骤
检查接口是否有接口滥用限制,主要为接口查询频率、参数遍历查询等。
风险分析
WebAPI接口在互联网上如果被恶意利用则会导致攻击者使用该接口大量遍历获取敏感信息以及对服务进行拒绝服务攻击。
接口数据重放测试
测试对外提供服务接口进行交易时,是否防具备防重放措施,防止关键交易被重放,导致业务风险。
测试步骤
测试时使用一个交易报文,进行多次重放,检查服务端是否正常返回请求(建议特别关注可能会导致交易风险的报文)。
第一次交易
重放交易
风险分析
数据重放交易主要测试针对重要的交易,比如转账,购物,支付等具备唯一性的交易。如果没有防止重放的控制,则会导致业务进行多次交易,导致业务逻辑问题。
三、Eolink的解决方案
1、解决传统测试的痛点
传统的接口安全测试中对于每种协议使用的工具参差不齐,每测试一种协议工具就要变换,这样一来工作就变得繁琐、效率低下。甚至测试其他接口的时候要自主编写的测试(FUZZ)脚本等进行测试。新一代API测试工具Eolink 支持 HTTP(S)、Websocket、TCP、UDP 等主流协议的测试,解决了网络安全要求下传统接口安全测试的各种问题,对于不同协议的API测试就不用自己编写脚本,Eolink 节省了测试成本和时间。对于接口的安全测试完全够用。
宝藏接口测试工具
上手使用
Eolink支持在多种系统上运行,也可以直接在Web端进行测试,注册账号,下载安装登录运行。
2、Eolink 测试接口
添加项目
进入API管理界面,添加项目-李白你好API测试点击添加按钮添加项目,输入项目名称、项目类型以及备注信息,点击确认完成添加。
添加API或者导入API
可以自己添加新的API也可以讲以前测试的API导入到Eolink 中,这个导入功能是真的便捷。
进行测试
创建好API之后就可以进行测试了,如果是夜间的话我们还可以把工具的背景转换成“护眼模式”黑色,这一点真的是细节。
测试报告
测试结束之后可以出测试报告,报告中显示了测试结果是否通过还有测试历史记录。
不同协议下的API测试
添加子分组,分组名称“不同协议下的API测试”
新建API,在请求协议出发现HTTP、HTTPS、Websocket等协议下的API测试
HTTP协议下的API测试
新建API选择请求协议,然后填写API名称,点击保存就可以进行API测试了。
HTTPS、Websocket等协议下的API测试的过程也跟上述类似。
不同协议下批量测试
批量测试,添加用例,不同协议下HTTP、HTTPS也可以进行批量测试
四、Eolink的使用体验
经过Eolink工具的使用,该神器的有点如下:
- Eolink界面简洁,容易上手(各个功能点布局简单,一目了然)
- 接口数据一键迁移(支持Postman、Swagger、Apifox等多款产品中的数据迁移到Eolink)
- 批量测试,执行速度快
- 支持团队协作提高工作效率(可以与团队成员一起进行API测试)
- API测试统计分析,结果一目了然
五、Eolink评价
1、网络安全行业内
这款测试工具使用的行业众多,其中网络安全行业中的龙头企业奇安信和深信服也用Eolink来管理API,实力强悍基本上是接口测试的天花板。
2、就我来说
在网络安全背景在对接口的安全测试工作越来越多,想要高效、完美的交付API测试工作,必须得有一款得心应手得测试工具,就我而言Eolink必是接口测试的首选。
宝藏接口测试工具
网络安全中接口测试的解决方案相关推荐
- 中睿天下解决方案荣获“2022年网络安全优秀创新成果大赛”优秀奖
近日,中国网络安全产业联盟公布了"2022年网络安全优秀创新成果大赛"优秀奖及入围奖名单.中睿天下报送的"鱼叉式钓鱼整体解决方案"在140余家网络安全企业申报的 ...
- {电脑救助站}常用知识1 来自常用知识( 网络安全中起重大作用的 Windows 命令)
常用知识( 网络安全中起重大作用的 Windows 命令) 常用在线查毒链接 3 楼 超级兔子的在线检测功能 4楼 准确探索间谍软件或广告软件 5楼 预防间谍软 ...
- 某市政府网络安全与网站防护解决方案
[说明](1)这是<中小企业虚拟机解决方案大全>一书中部分章节的摘抄.该书预计于2009年12月初由<电子工业出版社>出版,敬请期待! (2)以本方案为蓝本的方案:<A市 ...
- 支持向量机算法在网络安全中的应用
本文是研究生课的一次大作业,本文介绍的支持向量机仅仅是支持向量机算法的第一层理解,想要深入理解,请看看支持向量机的三层理解. 1:支持向量机算法介绍 近年来,在网络安全方面AI和机器学习的出现,极大的 ...
- 在运筹学中什么样的解决方案是最优的
问题: 1.在运筹学中什么样的解决方案是最优的 2.线性代数解决的是什么问题? 3.运筹学与线性代数的关系? 4.如何使用matlab 解决运筹学中的问题? 转载于:https://www.cnblo ...
- angular蚂蚁_Angular 中后台前端解决方案 - Ng Alain 介绍
背景 之前项目使用过vue.js+iview,习惯了后端开发的我,总觉得使用不习惯,之前分析易企秀前端代码,接触到了angular js,完备的相关功能,类似后端开发的体验,让人耳目一新,全新的ang ...
- 计算机信息管理技术 互联网,计算机信息管理技术在网络安全中的运用思路
计算机信息管理技术在网络安全中的运用思路 随着计算机技术的快速发展,也促进了计算机信息管理技术的发展进步,这也对计算机网络安全工作的开展产生了较大的影响. 摘要:计算机技术在人们生活中融入的程度不断加 ...
- Session机制详解及分布式中Session共享解决方案
Session机制详解及分布式中Session共享解决方案 参考文章: (1)Session机制详解及分布式中Session共享解决方案 (2)https://www.cnblogs.com/jing ...
- Visual Studio中没有为此解决方案配置选中要生成的项目
Visual Studio中没有为此解决方案配置选中要生成的项目 参考文章: (1)Visual Studio中没有为此解决方案配置选中要生成的项目 (2)https://www.cnblogs.co ...
最新文章
- Flask框架-基本使用
- 手机端仿ios的1-n级联动脚本二
- Python第三章-字符串
- BZOJ-2748: [HAOI2012]音量调节 (傻逼背包DP)
- 淘宝店铺图片数据迁移核心代码
- struct/class的数据对齐---简单解析
- ? SegmentFault Hackathon 文艺复兴上海站作品集 - 获奖篇
- uniapp 输入框防抖节流_拉动一下控制台大小,后台请求数量爆炸,竟是没做好防抖与节流...
- java可以继承私有的,关于java:继承中的私有方法
- C++ 容器适配器priority_queue的使用及实现
- 【sklearn第十七讲】特征选择
- JavaScript中的语言结构知识点总结(附实例、图解)
- windows下载东西提高速度的方式。
- 成信钟楼定时微博报时的设计与实现
- 51单片机之共阳极静态数码管
- git-lfs使用笔记
- github pages不能自动更新
- pyspark lit 常量
- 自媒体去哪里找素材?
- 电脑常识Typora配置阿里云图床