安全性非功能测试是属于功能测试阶段的一部分，在功能测试期间完成，不属于安全专项测试。

1. 安全性非功能测试接口测试点
   
   1. 防止短信轰炸 ---- 应用系统给未认证的客户接收信息渠道（手机号、电子邮箱等）发送信息时，需防范系统遭受攻击后对客户造成垃圾信息的骚扰。
   2. 防止信息篡改 ---- 防止接口敏感信息被恶意篡改，例如卡号、账户号、客户号等。
   3. 针对客户身份鉴别信息应保证鉴别信息端到端加密，即从产生、传输到存储过程中全部要求以密文形式存在。
      
2. 使用 burpsuite 进行 http 接口的安全性非功能测试
   
   1. 设置代理
      设置代理分两步，首先设置浏览器的代理，不同浏览器的设置方式大致相同。IE 浏览器在 internet 选项中设置：
      
      火狐浏览器在选项中进行如下设置，
      
      然后在 BurpSuite 设置代理：
      
      
   2. 查看报文 在浏览器和 burpsuite 设置好相同的代理地址和端口后，在 burp 可以看到上送和返回信息。如下图，这是一个登录接口，可以看到用户名和密码是明文传输的。这一步可以检查敏感信息传输是否以密文形式传输。
      
      
   3. 修改报文
      右击 http history 中的请求，选择 send to repeater，在 repeater 模块可以看到刚刚的请求，这里可以通过修改上送的内容，点击 Go 重新发送，在 response 处可以看到返回。这个操作可以检查待测产品是否做了防信息篡改。