【技术实现步骤摘要】
API接口输入校验测试方法、测试装置和电子设备
[0001]本申请实施例涉及计算机领域,具体而言,涉及一种API接口输入校验测试方法、测试装置、计算机可读存储介质和电子设备。
技术介绍
[0002]API(应用程序编程接口,Application Programming Interface,简称为API),是现代移动、SaaS(软件运行服务,Software as a Service,简称为SaaS)和Web应用程序的一个关键组成部分。近年来,API的使用呈现爆炸式增长,API通信占据绝大比例的互联网流量,但它们同时也为恶意黑客提供了访问数据的多种途径,成为诸多安全问题的根源所在,相比于0day(没有补丁的漏洞利用程序)、钓鱼、供应链风险等,API最容易被攻击者关注。原因在于API的职责就是应用之间的调用与数据传输,天然公开且暴露,易被查找定位;而携带大量重要数据和认证信息的API大多直接与核心系统对接,一旦攻击者成功突破API,潜在收益高;软件产品在使用大量API时,较难进行输入参数合法性的校验或API的精细化权限控制,易...
【技术保护点】
【技术特征摘要】
1.一种API接口输入校验测试方法,其特征在于,包括:获取目标接口的接口文档,解析所述接口文档,得到请求信息,其中,所述接口文档包含所述请求信息,所述请求信息至少包括请求位置、请求方法和第一请求参数中的一种,所述请求信息为输入所述目标接口的信息;判断所述请求信息中是否存在所述第一请求参数,在存在所述第一请求参数的情况下,获取所述目标接口在输入第二请求参数的情况下输出的错误响应信息,其中,所述第二请求参数为错误的请求参数且与所述第一请求参数不相同;根据所述请求参数,构建异常数据测试集,至少根据所述请求信息构建接口输入测试用例,采用所述接口输入测试用例对所述目标接口进行输入校验测试,获取异常数据测试结果,其中,所述异常数据测试结果为所述目标接口在输入异常数据测试集中的元素的情况下输出的;判断所述异常数据测试结果是否包含所述错误响应信息,在包含的情况下,确定所述目标接口的输入校验测试成功,在不包含的情况下,确定所述目标接口的输入校验测试失败。2.根据权利要求1所述的方法,其特征在于,获取所述目标接口在输入第二请求参数的情况下输出的错误响应信息,包括:在向所述目标接口输入所述第二请求参数之后,所述目标接口输出错误响应信息的情况下,获取所述目标接口输出的所述错误响应信息。3.根据权利要求2所述的方法,其特征在于,还包括:在所述目标接口未输出所述错误响应信息的情况下,标记所述目标接口为无失败响应。4.根据权利要求1所述的方法,其特征在于,根据所述请求参数,构建异常数据测试集,包括:根据与所述请求参数的类型不同且在所述请求参数的范围之内的多个数据,构建得到第一异常数据测试集;根据与所述请求参数的类型相同且不在所述请求参数的范围之内的多个数据,构建得到第二异常数据测试集;根据多个SQL注入语句构建得到第三异常数据测试集。5.根据权利要求1所述的方法,其特征在于,至少根据所述请求信息构建接口输入测试用例,包括:根据所述请求信息和第一异常数据测试集构建得到第一接口输入测试用例;根据所述请求信息和第二异常数据测试集构建得到第二接口输入测试用例;根据所述请求信息和第三异常数据测试集构建得到第三接口输入测试用例。6.根据权利要求1所述的方法,其特征在于,采用所述接口输入测试用例对所述目标接口进行输入校验测试,获取异常数据测试结果,包括:根据所述接口输入测试用例,构建所述接口输入测试用例对应的测试接口,将所述异常数据测试集中的元素分别输入至所述测试接口,获取所述测试接口输出的结果,得到所述异常数据测试结果。7.根据权利要求6所述的方法,其特征在于,判断所述异常数据测试结果是否包含所述
错误响应信息,包括:根据所述异常数据测试结果中的响应内容和状态码,判断所述接口输入测试用例是否解析成功,在解析成功的情况下,匹配所...
【专利技术属性】
技术研发人员:杨祖森,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。