今天分享的是“Web Service 接口测试”,Web service使用与平台和编程语言无关的方式进行通讯的一项技术, web service 是一个接口, 他描述了一组可以在网络上通过标准的XML消息传递访问的操作,它基于xml语言协议来描述要执行的操作或者要与另外一个web 服务交换数据, 一组以web服务在面向服务体系结构中定义的web应用程序.
Web Service 测试主要是通过工具检查Web Service 接口是否存在SQL 注入、XSS 注入和XPATH注入漏洞,检查接口论证、鉴权、机密性、完整性、审计日志措施是否恰当。
(1)接口SQL 注入、XSS 注入和XPATH 注入测试。
通过工具自动检查Web Service 接口是否存在SQL 注入、XPATH 注入、跨站脚本漏洞,具体的测试步骤如下:
步骤1:运行WSDigger 工具(WSDigger 工具进行自动检查),并单击右下角的Next 按钮,进入WSDL 页面。
步骤2:在WSDL 输入框中输入接口的WSDL 地址,格式为http://PortalIP:Port/Path/Interface?wsdl,如地址http://10.164.23.191:8080/jboss-net/services/Register?wsdl,如图12-23所示。
步骤3:单击Get Methods 按钮,获取接口方法,如图12-24所示。
图12-23设置WSDL 地址
图12-24获取接口方法
步骤4:在左侧的接口方法树形框中选择要测试的方法,如图12-25所示。
图12-25选择测试方法
步骤5:单击菜单项Attacks→Select Attack Type,弹出Attack 对话框,在对话框左侧的选择列表框中选择所有的测试项,如图12-26所示。
图12-26选择测试项
步骤6:单击Start 按钮,生成测试结果,如图12-27所示。
图12-27显示测试结果
观察返回结果,根据WSDL 接口定义,判断返回事件是否成功,预期结果为不能返回正确的结果。
(2)接口认证、鉴权、机密性、完整性、审计日志测试。
检查接口认证、鉴权、机密性、完整性、审计日志措施是否恰当。具体测试步骤如下:
步骤1:运行WSDigger 工具(WSDigger 工具进行自动检查),并单击右下角的Next 按钮,进入WSDL 页面。
步骤2:在WSDL 输入框中输入接口的WSDL 地址, 格式为http://PortalIP:Port/Path/Interface?wsdl,如地址http://10.164.23.191:8080/jboss-net/services/Register?wsdl。
步骤3:单击Get Methods 按钮,获取接口方法。
步骤4:在左侧的接口方法树形框中选择要测试的方法。
步骤5:单击图12-25中Input 列表框中的各个参数,并在Input Value 框中输入相应的参数值(参数值为每个接口方法所定义的结果值)。
步骤6:单击Invoke 按钮,观察返回信息。
步骤7:分析接口是否存在认证、鉴权机制,是否存在机密性、完整性措施,是否记录接口调用日志。
Web Service 接口存在完善的认证、鉴权机制,存在机密性、完整性保护措施,对接口调用有详细的调用日志记录。
本章主要从功能测试、性能测试、GUI 测试、兼容性测试和安全性测试五个方面介绍Web 系统的测试方法。详细介绍了功能测试、GUI 测试和安全测试,性能测试和兼容性测试在后面的章节中有详细的介绍。相比于其他几个方面,性能测试和安全性测试是重中之重,也是测试的难点所在,这两个方面在实际工作中逐渐发展成两个独立的分支。
大家觉得文章有用的话一定要关注我们,每天来这里和小编一起学习涨薪技能哦。