移动安全测试 使用 burpsuite 进行安全性非功能测试

李小巍 · 2019年07月23日 · 最后由 李小巍 回复于 2019年07月25日 · 142 次阅读

安全性非功能测试是属于功能测试阶段的一部分,在功能测试期间完成,不属于安全专项测试。

  1. 安全性非功能测试接口测试点
    1. 防止短信轰炸 ---- 应用系统给未认证的客户接收信息渠道(手机号、电子邮箱等)发送信息时,需防范系统遭受攻击后对客户造成垃圾信息的骚扰。
    2. 防止信息篡改 ---- 防止接口敏感信息被恶意篡改,例如卡号、账户号、客户号等。
    3. 针对客户身份鉴别信息应保证鉴别信息端到端加密,即从产生、传输到存储过程中全部要求以密文形式存在。
  2. 使用 burpsuite 进行 http 接口的安全性非功能测试
    1. 设置代理
      设置代理分两步,首先设置浏览器的代理,不同浏览器的设置方式大致相同。IE 浏览器在 internet 选项中设置:

      火狐浏览器在选项中进行如下设置,

      然后在 BurpSuite 设置代理:

    2. 查看报文 在浏览器和 burpsuite 设置好相同的代理地址和端口后,在 burp 可以看到上送和返回信息。如下图,这是一个登录接口,可以看到用户名和密码是明文传输的。这一步可以检查敏感信息传输是否以密文形式传输。

    3. 修改报文
      右击 http history 中的请求,选择 send to repeater,在 repeater 模块可以看到刚刚的请求,这里可以通过修改上送的内容,点击 Go 重新发送,在 response 处可以看到返回。这个操作可以检查待测产品是否做了防信息篡改。
共收到 4 条回复 时间 点赞

建议使用开源、免费软件。

qianxing 回复

能不能推荐些开源免费工具?

这个测试 chrome fiddler 不就可以搞定吗

jiawang 回复

是可以,不过这个工具测试安全方面的功能更全,我还没学习到其他功能😅

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册