一、常用的请求数据格式
application/x-www-from-urlencoded------表单数据
multiparty/from-data------表单文件上传
Application/json------序列化JSON格式数据
Text/xml------xml数据
(1)x-www-from-urlencoded------表单数据
(2)JSON格式数据
二、Postman工具的简单使用
请求地址:域名服务器+路由地址如:域名服务
器:,地址,如: 两图结合参考
:
post:请求方法: 对应的:
整体流程就是:
1,先输入请求地址:,
2,选择请求方法,
3.选择body:,
4、选择body下的数据格式:
5、选择数据格式:
6、在body下的raw下输入以上文件的内容(把string修改为手机号的前7位):
7、如果缺少请求头,需要添加,如:
8、点击:send:执行:
9、结果出现号码的归属地及相关信息:
二、HTTP存在缺陷,主要是:
1、通信内容是明文,内容很容易被第三方获取
2、不验证通信方的身份信息,容易被伪装
3、无法证明请求头的完整性
由于以上的缺陷的存在,也就有了HTTPS的协议,HTTPS协议不是全新的,只是在HTTP协议上上添加了安全措施:HTTPS=HTTP+加密+认证+完整性保护。英文就是SSL和TLS
三、HTTP认证体系
1、BASIC:基本认证
2、DIGES:摘要认证
四、Charles配置流程:
1、下载安装包完成,
2、点击安装,完成后:
图标。
3、打开之后:选择
4、端口号设置8888,选择复选框,点击ok
5、选择Proxy下的SSL,如:
6、进行设置,*.443,*代表所有,端口号是443,点击第一个复选框,点击ok
,
7、安装证书。点击Help下的SSL8、
8、进入到安装证书界面,如:
9、选择本地计算机:
10、选择将所有证书放入以下存储,点击浏览,选择受信任的根证书颁发机构,点击确定。
11、默认:用户选定的证书存储,点击完成。
12、出现以下图标,安装就完成了。
13、Charles的重复执行:
随便打开一个浏览器输入内容:就会出现各种的数据,找到想要执行的数据,右击选择:,会弹出,输入想要执行的次数,点击ok就可以。
14、抓包方法,如:打开京东登陆界面:
打开Charles软件:
1、找到登陆方式:
2、抓取错误信息
五、API测试维度,(单个API)
1、验证必填参数是否为空
2、验证参数的数据类型是否做了效验
3、验证参数的字段长度是否做了效验
4、接口的安全性效验和性能效验
(2)对单个API测试,如果涉及到支付或金钱有关的,都需要考虑API的安全测试
1、是否增加了反爬虫的机制
2、是否增加了请求次数的机制
3、是否增加了对应的请求头信息
4、是否增加了鉴权的认证信息(基本信息、常规认证,自定义认证)
5、是否对请求进行了加密
6、是否再被请求的服务端添加了IP的限制(白名单设置和IP的限制请求)