SoapUI 安全测试
SoapUI 安全测试
安全测试是一种在 SoapUI 中使用的测试,用于衡量 Web 服务或 Web API 中的潜在风险、威胁、漏洞。它可以防止黑客或入侵者的恶意攻击。使用安全测试的目的是找出所有可能的漏洞,揭示可能影响网络数据和一些敏感信息的故障和网络服务的弱点。因此,SoapUI 使用安全测试来确保 Web 服务和 Web API 的授权和真实性。
安全测试的类型
以下是各种安全类型SoapUI 中使用的测试。
SQL 注入: 在 SoapUI 中使用 SQL 注入扫描来检测数据库编码的不良集成以及可能损坏数据库的任何可能的 SQL 注入。通过这种方式,SQL 注入保护了数据库。
XPath 注入: 在 SoapUI 中使用 XPath 注入,以利用 XML 在 Web 服务内部的不良处理作为目标。
无效类型: 顾名思义,无效类型用于检查和利用网络服务中使用的所有无效输入数据。
恶意附件: 恶意安全附件用于扫描附件文件的所有不良处理。
边界扫描: 边界扫描安全测试用于检查对超出范围定义的 Web 服务值的处理不当。
格式错误的 XML: 格式错误的 XML 安全扫描用于检查和利用对可以在网络服务器或网络服务中呈现的无效 XML 的不良处理。
自定义脚本: 自定义脚本是一种安全扫描,允许我们使用脚本创建覆盖值的自定义参数。
XML Bomb: 术语 XML Bomb 是一种安全扫描,用于处理可能破坏服务器上的整个 Web 服务或窃取一些敏感信息的恶意 XML 请求。
跨站点脚本: 这是一种在跨站点脚本期间使用的安全扫描,用于查找 Web 服务器中服务参数的任何易受攻击的风险。
其他 SoapUI 安全扫描功能
堆栈溢出: 堆栈溢出是一种在 SoapUI 中使用的安全测试,用于扫描和定位消息中的大量文档,从而导致堆栈溢出。
救生扫描: 救生扫描是一种在 SoapUI 中使用的安全测试,用于执行扫描次数并确保 Web 服务和 Web API 的安全。
在 SoapUI 中执行安全测试的步骤
要创建 Soap 项目的安全测试,请按照以下步骤进行操作。
第 1 步 : 右键单击 Calculate Sum TestCase 的 Security Tests,如下所示。
第 2 步: 点击显示的新安全测试弹出对话框进入安全测试,如下图。
第 3 步: 点击确定按钮后,将显示安全测试 1 的弹出窗口,如下所示。
在上图中,我们为"请求总和"运行安全测试 计算总和测试用例中的测试步骤。此外,我们还可以通过新建Soap项目来检查登录和注销测试用例的真实性,甚至我们也可以检查REST项目的安全测试。
第 4 步: 在这里,我们检查"请求总和" 测试步骤的安全测试。选择总和请求,然后单击显示弹出窗口的
图标up 对话框选择安全测试,如图所示。
第 5 步: 在这里,我们选择边界扫描来运行安全测试,然后单击确定按钮。单击确定按钮后,它会显示一个边界扫描的弹出窗口,如下所示。
第 6 步: 现在,点击(+)图标添加参数,弹出对话框设置标签、名称、XPath等参数,
这里我们选择Request对于Parameter Name,Label为Sum,XPath为//ns1:AddResult,然后点击OK,如下图所示。
第 7 步: 一旦添加按钮,安全测试步骤参数将添加到边界扫描窗口,如下图。
第 8 步: 现在单击(+) 图标为每个参数添加断言。当按下(+) 图标时,它会显示一个添加断言的弹出窗口,如下所示。
第 9 步: 单击确定按钮设置包含的断言,然后单击OK 按钮进一步处理,如图所示。
第 10 步: 此后,单击确定按钮以添加边界扫描断言。类似地,为另一个参数再添加一个断言,如下所示。
第 11 步: 点击 OK 按钮在 Security Test 1 窗口中添加边界扫描,如下图所示。
同理,添加更多类型的安全测试,然后点击运行按钮测试一个测试用例的安全性,如下图。
第 12 步: 现在,单击运行图标(绿色三角形)来执行安全测试,如下图所示。
此外,我们可以通过点击安全日志来查看安全测试 1 的状态。
