移动安全测试 使用 burpsuite 进行安全性非功能测试

李小巍 · July 23, 2019 · Last by 李小巍 replied at July 25, 2019 · 1075 hits

安全性非功能测试是属于功能测试阶段的一部分,在功能测试期间完成,不属于安全专项测试。

  1. 安全性非功能测试接口测试点
    1. 防止短信轰炸----应用系统给未认证的客户接收信息渠道(手机号、电子邮箱等)发送信息时,需防范系统遭受攻击后对客户造成垃圾信息的骚扰。
    2. 防止信息篡改----防止接口敏感信息被恶意篡改,例如卡号、账户号、客户号等。
    3. 针对客户身份鉴别信息应保证鉴别信息端到端加密,即从产生、传输到存储过程中全部要求以密文形式存在。
  2. 使用burpsuite进行http接口的安全性非功能测试
    1. 设置代理
      设置代理分两步,首先设置浏览器的代理,不同浏览器的设置方式大致相同。IE浏览器在internet选项中设置:

      火狐浏览器在选项中进行如下设置,

      然后在BurpSuite设置代理:

    2. 查看报文 在浏览器和burpsuite设置好相同的代理地址和端口后,在burp可以看到上送和返回信息。如下图,这是一个登录接口,可以看到用户名和密码是明文传输的。这一步可以检查敏感信息传输是否以密文形式传输。

    3. 修改报文
      右击http history中的请求,选择send to repeater,在repeater模块可以看到刚刚的请求,这里可以通过修改上送的内容,点击Go重新发送,在response处可以看到返回。这个操作可以检查待测产品是否做了防信息篡改。
共收到 4 条回复 时间 点赞

建议使用开源、免费软件。

qianxing 回复

能不能推荐些开源免费工具?

这个测试chrome fiddler不就可以搞定吗

jiawang 回复

是可以,不过这个工具测试安全方面的功能更全,我还没学习到其他功能😅

需要 Sign In 后方可回复, 如果你还没有账号请点击这里 Sign Up