关于接口的安全性测试

以你之姓@ 2023-09-28 19:51 7阅读 0赞

### 1.为什么会有人要刷接口？ ###

牟利：比如网上抢票再倒卖。

恶意攻击竞争对手：如短信接口被请求一次，会触发几分钱的运营商费用，当量级大了也很可观。

### 2.什么行为判定为刷接口？ ###

次数多

频率频繁，可能 1 秒上千次

用户身份难以识别：可能会在刷的过程中随时换浏览器或者 ip

### 3.如何判断用户粒度 ###

根据当前网页

缺点：没有任何意义，一刷新页面用户的身份就变了

根据session

缺点：当用户手动清除 cookie 的时候即失效

根据ip

优点：伪造成本高

缺点：要考虑一个公司、一个小区的人一般会共享一个 ip，所以适当的要放宽对单一 ip 的请求限制。

### 4.如何处理恶意请求？ ###

a.业务逻辑上拒绝该用户参与

例如限制用户登录，用户必须达到一定条件才可以（任务限制，金额限制，参与次数限制）

b.奖励发放的限制

奖励每天发放次数限制，奖励每天发放总量限制，用户每天参与次数限制，用户每天获取总量限制

c.IP频率限制

通过 memcached 和 redis 都有成熟的方案。

d. 验证码&短信限制

可以通过要求用户输入验证码or短信验证码验证用户真实性，但是也要保证短信接口不会被刷。

优点：可以精准识别请求是真人还是机器发出的，二次筛选出真正的用户

缺点：不够人性化，用户操作时间长、体验差

e.用户权限判断

基础的用户行为分析，就是结合业务逻辑，在代码实现层面对进行完善的用户权限判断。

从代码层次限制用户。

f.防范XSS、CSRF、SQL注入攻击

这是常见的WEB接口安全防范手段，XSS、CSRF、SQL注入，对参数过滤转义，表单验证等等。

g.人工干预

以上方法需要结合使用才能提高安全和破解的难度，单独使用都有很容易破解的方法，除此之外，人工干预也是很重要的，一定要在后台观察数据，及时发现异常的数据并排查隐患。

**现在我邀请你进入我们的软件测试学习交流群：**【**`746506216`**】，备注“入群”， 大家可以一起探讨交流软件测试，共同学习软件测试技术、面试等软件测试方方面面，还会有免费直播课，收获更多测试技巧，**`我们一起进阶Python自动化测试/测试开发，走向高薪之路。`**

**喜欢软件测试的小伙伴们，如果我的博客对你有帮助、如果你喜欢我的博客内容，请 “点赞” “评论” “收藏” 一 键三连哦！**  
![在这里插入图片描述][e5839dcedca14117aff9fd1945058bd6.gif_pic_center]

[e5839dcedca14117aff9fd1945058bd6.gif_pic_center]: https://img-blog.csdnimg.cn/e5839dcedca14117aff9fd1945058bd6.gif#pic_center

发表评论取消回复

表情：

评论列表（有 0 条评论，7人围观）

还没有评论，来说两句吧...

相关阅读

相关对于接口的安全性测试，这几点你掌握了吗？

1.为什么会有人要刷接口？牟利：黄牛在 12306 网上抢票再倒卖。恶意攻击竞争对手：如短信接口被请求一次，会触发几分钱的运营商费用，当量级大了也很可观。压测：用apac...

淩亂°似流年/ 2024年05月23日 18:37/ 0 赞/ 77 阅读

相关 Jmeter学习：关于接口测试

Jmeter接口测试技能大纲 ![在这里插入图片描述][e6ee7ad6fa334509ab64abc412a81e76.png] 一、接口测试分类内部接口∶测试

一时失言乱红尘/ 2024年04月01日 10:29/ 0 赞/ 89 阅读

相关软件安全性测试

软件安全性是一个广泛而复杂的主题，每一个新的软件总可能有完全不符合所有已知模式的新型安全性缺陷出现。要避免因安全性缺陷问题受各种可能类型的攻击是不切实际的。在软件安全测试时，运

悠悠/ 2024年03月25日 15:21/ 0 赞/ 61 阅读

相关安全性测试方法

1.功能验证功能验证是采用软件测试当中的黑盒测试方法，对涉及安全的软件功能，如：用户管理模块，权限管理模块，加密系统，认证系统等进行测试，主要验证上述功能是否有效，具体方法

╰+攻爆jí腚メ/ 2024年03月23日 14:40/ 0 赞/ 50 阅读

相关关于接口的安全性测试

1.为什么会有人要刷接口？牟利：比如网上抢票再倒卖。恶意攻击竞争对手：如短信接口被请求一次，会触发几分钱的运营商费用，当量级大了也很可观。 2.什么行为判定为刷

以你之姓@/ 2023年09月28日 19:51/ 0 赞/ 8 阅读

相关关于接口测试的一些简单理解

接口测试是什么（What）？通过测试工具、测试脚本等方式模拟前端对接口进行调用的过程，完成测试的方式。接口测试不仅可以用来完成功能性测试，还可以完成性能测试、安全性测试等。

曾经终败给现在/ 2023年08月17日 16:15/ 0 赞/ 61 阅读

相关关于接口测试PostMan的详解

1.下载PostMan 1.直接在访问官网下载,然后安装就可以使用官网地址(https://www.postman.com/downloads/) 2. PostM

傷城~/ 2022年11月28日 13:41/ 0 赞/ 81 阅读

相关 API接口安全性设计

接口的安全性主要围绕Token、Timestamp和Sign三个机制展开设计，保证接口的数据不会被篡改和重复调用，下面具体来看： Token授权机制：用户使用用户名密码登录后

╰+哭是因爲堅強的太久メ/ 2022年07月03日 12:29/ 0 赞/ 223 阅读

相关 API接口安全性设计

接口的安全性主要围绕Token、Timestamp和Sign三个机制展开设计，保证接口的数据不会被篡改和重复调用，下面具体来看： > Token授权机制：用户使用用户名密码登

╰+哭是因爲堅強的太久メ/ 2022年06月15日 00:51/ 0 赞/ 278 阅读

相关开放接口API安全性

服务端对外开放API接口，尤其对移动应用开放接口的时候，更需要关注接口安全性的问题，要确保应用APP与API之间的安全通信，防止数据被恶意篡改等攻击。安全考量点 T

朴灿烈づ我的快乐病毒、/ 2022年05月10日 11:12/ 0 赞/ 1259 阅读