测试之家

接口测试 ITP 安全测试模块操作说明

测试-鹏哥 · 2025年10月20日 · 322 次阅读


功能概述
安全测试模块提供对 Web 应用程序接口的安全性检测,支持两种测试模式:

单接口测试:针对特定接口进行安全测试
全部接口测试:对项目下所有接口进行批量安全测试
模块支持分布式执行安全测试任务,并提供聚合报告和 CSV 报告下载功能。
操作流程

  1. 创建安全测试任务

步骤 1:打开安全测试管理页面
进入系统后,点击左侧菜单中的"安全测试管理"进入主界面。
步骤 2:创建测试任务
点击左侧"创建安全测试"按钮
填写测试任务信息:
测试名称:为测试任务命名
测试范围:
选择"单接口测试"可针对特定接口进行测试
选择"全部接口测试"可对项目下所有接口进行测试
测试接口(仅在单接口测试时显示):选择需要测试的具体接口
测试环境:选择测试执行环境
步骤 3:保存测试任务
点击"确定"按钮完成测试任务创建。

  1. 添加测试用例

在测试任务详情中,切换到"测试用例"标签页:
步骤 1:添加测试用例
点击"添加测试用例"按钮,填写用例信息:
用例名称:为测试用例命名
测试类型:从以下类型中选择:
SQL 注入测试
XSS 攻击测试
CSRF 攻击测试
文件上传安全测试
权限绕过测试
速率限制测试
命令注入测试
自定义安全测试

自定义安全测试示例:

测试载荷 (payload):

[

  {"mobileNo":"15888888888","password":"'", "smsCode":"","terminal":"web","terminalName":"Chrome / 120.0","scope":"logon"},

  {"mobileNo":"15888888888","password":"1' OR '1'='1", "smsCode":"","terminal":"web","terminalName":"Chrome / 120.0","scope":"logon"},

  {"mobileNo":"15888888888","password":"admin'--", "smsCode":"","terminal":"web","terminalName":"Chrome / 120.0","scope":"logon"},

  {"mobileNo":"'; DROP TABLE users; --","password":"test", "smsCode":"","terminal":"web","terminalName":"Chrome / 120.0","scope":"logon"}

]

测试配置 (config):

{

  "method": "POST",

  "headers": {

    "Content-Type": "application/json",

    "User-Agent": "SecurityScanner/1.0"

  },

  "vulnerability_indicators": [

    "SQL syntax",

    "mysql_fetch",

    "ORA-",

    "PostgreSQL",

    "JDBC",

    "ODBC",

    "SQLite",

    "Microsoft SQL",

    "error",

    "exception"

  ],

  "success_indicators": [

    "tokenValue",

    "Bearer",

    200

  ],

  "timeout": 10

}

测试载荷:输入测试载荷内容,每行一个
测试配置(仅自定义测试时显示):输入 JSON 格式的测试配置
是否启用:开关控制测试用例是否启用
步骤 2:保存测试用例
点击"确定"按钮完成测试用例添加。

  1. 执行安全测试

步骤 1:选择测试任务
在左侧测试列表中点击需要执行的测试任务。
步骤 2:执行测试
在测试任务详情页,点击"执行测试"按钮,确认后系统将异步执行安全测试任务。

  1. 查看测试结果

单接口测试结果查看
切换到"测试结果"标签页,可查看该接口的详细测试结果:
测试用例名称
是否发现漏洞
测试耗时
执行时间
可点击查看详细结果
全部接口测试结果查看
切换到"测试结果"标签页,可查看聚合结果:
点击"全部详情"查看各接口的详细测试结果
点击"CSV 报告"下载完整测试报告

  1. 下载测试报告 对于全部接口测试任务,可以下载 CSV 格式的完整测试报告: 在"测试结果"标签页中点击"CSV 报告"按钮 系统将自动生成并下载包含所有测试结果的 CSV 文件 报告内容包括: 测试任务基本信息 统计信息(总接口数、已测试接口数、测试用例总数、发现漏洞数) 详细的测试结果数据(接口名称、接口 URL、测试用例、测试类型、发现漏洞、漏洞详情、耗时、时间等) 注意事项 执行安全测试前必须先添加测试用例 全部接口测试会测试项目下所有接口,可能耗时较长 自定义测试类型需要提供 JSON 格式的测试配置 测试结果支持分页查看,可调整每页显示数量 系统支持通过搜索功能快速查找测试任务 以上就是安全测试模块的主要操作流程,通过该模块可以有效检测 Web 接口的安全性问题。

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册