安全性非功能测试是属于功能测试阶段的一部分,在功能测试期间完成,不属于安全专项测试。

  1. 安全性非功能测试接口测试点
    1. 防止短信轰炸 ---- 应用系统给未认证的客户接收信息渠道(手机号、电子邮箱等)发送信息时,需防范系统遭受攻击后对客户造成垃圾信息的骚扰。
    2. 防止信息篡改 ---- 防止接口敏感信息被恶意篡改,例如卡号、账户号、客户号等。
    3. 针对客户身份鉴别信息应保证鉴别信息端到端加密,即从产生、传输到存储过程中全部要求以密文形式存在。
  2. 使用 burpsuite 进行 http 接口的安全性非功能测试
    1. 设置代理
      设置代理分两步,首先设置浏览器的代理,不同浏览器的设置方式大致相同。IE 浏览器在 internet 选项中设置:

      火狐浏览器在选项中进行如下设置,

      然后在 BurpSuite 设置代理:

    2. 查看报文 在浏览器和 burpsuite 设置好相同的代理地址和端口后,在 burp 可以看到上送和返回信息。如下图,这是一个登录接口,可以看到用户名和密码是明文传输的。这一步可以检查敏感信息传输是否以密文形式传输。

    3. 修改报文
      右击 http history 中的请求,选择 send to repeater,在 repeater 模块可以看到刚刚的请求,这里可以通过修改上送的内容,点击 Go 重新发送,在 response 处可以看到返回。这个操作可以检查待测产品是否做了防信息篡改。


↙↙↙阅读原文可查看相关链接,并与作者交流