开放式Web应用程序安全项目(OWASP)发布的top10 Web应用软件安全风险榜单中，注入漏洞常年霸榜（参见：https://owasp.org/www-project-top-ten/ ），而在api接口测试中，sql注入是最常见的注入类型，也是非常容易被使用的攻击方式，并且其产生的危害非常大。那么什么是sql注入？如何进行sql注入的测试呢？我们仍然通过实例来分析 1. 字符型sql注入 我们以前面章节《接口进阶》部分中的代码为基础，修改其中登录部分的代码，将写死在代码中的用户名和密码修改为从数据库中读取，为了便于说明问题，我们将实际执行的sql语句以结果返回，代码如下： @app.r...

1. 什么是token？ 参考回答： 1）定义： token的意思是“令牌”，是服务端生成的一串字符串，作为客户端进行请求的一个标识。 2）使用场景： 实际应用中，客户端需要频繁向服务端请求数据，服务端需要去数据库查询用户名和密码，来验证对比用户名密码是否正确，这样对数据库就会造成很大的压力，由此就出现了token的应用场景，当用户第一次登录后，服务器生成一个token并将此token返回给客户端，以后客户端只需带上这个token前来请求数据即可，无需再次带上用户名和密码。 3）实现原理： 基于token的身份验证的过程如下:  客户端使用用户名跟密码请求登录； 服务端收到请求，去验证用户名与...

上一篇我们介绍了接口认证鉴权的过程，认证需要发送用户名和密码到服务端接口，我们用Postman工具模拟前端（客户端）的行为，向服务端接口发送请求，并通过Charles工具抓取请求的数据包，如下图所示： 可以看到，密码“a123456”是明文形式传输的，这样很容易造成账号信息的泄漏，所以在实际应用中需要对关键数据进行加密。 1. 数据加密 1）加密算法 加密方式主要有如下3种： ❶单向散列加密 单向散列函数一般用于产生消息摘要，密钥加密等，常见的有： 1.1 MD5（Message Digest Algorithm 5）： 信息摘要算法，是RSA数据安全公司开发的一种单向散列算法，非可逆，相同的...

上一章《接口测试基础--入门篇》中我们提到用户手里的门禁卡非常简陋，很容易被伪造，如果一个公司，别人都可以用伪造的门禁卡打开门，那这个门禁就没有存在的意义了。 1.鉴权 鉴权，即鉴定权限，是验证用户是否拥有访问系统的权利。假设这样的场景：你进入公司第一天，公司就会给你办一张属于你自己的门禁卡，这个卡具有一定的防伪功能，而且记录着你的个人信息，只要你刷门禁，就会验证卡是否真实，个人信息是否有效，只有验证通过，门才会打开，我们将这个过程简化为门禁验证用户的用户名和密码，这个用户名和密码只有你自己知道，所以别人就很难伪造了。 这时候接口请求需要带用户的username和password信息，接口先对...

1. 请问你用过哪些抓包工具？抓包工具都可以用来做什么？ 参考回答： 常用的抓包工具有Fiddler和Charles，以Charles4.5.6为例，可以做如下工作： 1）截取http数据包 ❶ 抓取PC网络请求 打开Charles，依次打开菜单 Proxy -> Proxy Setting 进入Proxy Setting页面，设置Port为8888，然后勾选菜单Proxy中的Windows Proxy，此时PC端的http请求都将先转发到Charles，这时就可以抓到包了。 ❷ 抓取手机App数据包 PC端开启代理后，通过在手机端（包括iPhone、Android）设置代理，连接到Ch...

上一节我们介绍了接口的请求示例、接口url组成、接口请求消息结构等内容，并用门禁卡的实例演示了两个接口测试的正常场景测试用例，接下来我们继续探讨p参数不存在、p参数值与接口定义不一致、p参数值为数字及中文等情况时的测试用例 1.异常场景测试用例 case1：参数p不存在 postman工具中，删除"?"后面的参数及参数值信息，即请求url为“http://127.0.0.1:5000/door?”，发送请求，返回结果如下: <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN"> <...

1. 什么是接口测试？   要谈接口测试，先要清楚什么是接口，接口即通常所说的API（Application Programming Interface，应用程序接口）是一些预先定义的函数，或指软件系统不同组成部分衔接的约定。 用来提供应用程序与开发人员基于某软件或硬件得以访问的一组例程，而又无需访问原码或理解内部工作机制的细节（接口定义来源于百度百科）。简单来说，接口就是将一些复杂的操作封装起来方便其他程序调用，调用的形式可以是本地函数，也可以是网络请求。   接口测试就是对上述接口进行的一种测试，主要用于测试系统与外部其他系统之间的接口，以及系统内部各个子模块之间的接口。测试的重点是要检查...

    ![返回token](https://uploadfiles.n...

软件性能                                                                                                                                                                                                                                                  https://github.com/8784285/ApiTestDemo