Web Service 接口测试，So easy~

今天分享的是“Web Service 接口测试”，Web service使用与平台和编程语言无关的方式进行通讯的一项技术, web service 是一个接口, 他描述了一组可以在网络上通过标准的XML消息传递访问的操作,它基于xml语言协议来描述要执行的操作或者要与另外一个web 服务交换数据, 一组以web服务在面向服务体系结构中定义的web应用程序.

Web Service 测试主要是通过工具检查Web Service 接口是否存在SQL 注入、XSS 注入和XPATH注入漏洞，检查接口论证、鉴权、机密性、完整性、审计日志措施是否恰当。

(1)接口SQL 注入、XSS 注入和XPATH 注入测试。

通过工具自动检查Web Service 接口是否存在SQL 注入、XPATH 注入、跨站脚本漏洞，具体的测试步骤如下：

• 步骤1：运行WSDigger 工具(WSDigger 工具进行自动检查)，并单击右下角的Next 按钮，进入WSDL 页面。

• 步骤2：在WSDL 输入框中输入接口的WSDL 地址，格式为http://PortalIP:Port/Path/Interface?wsdl，如地址http://10.164.23.191:8080/jboss-net/services/Register?wsdl，如图12-23所示。

• 步骤3：单击Get Methods 按钮，获取接口方法，如图12-24所示。

图12-23设置WSDL 地址

图12-24获取接口方法

• 步骤4：在左侧的接口方法树形框中选择要测试的方法，如图12-25所示。

图12-25选择测试方法

• 步骤5：单击菜单项Attacks→Select Attack Type，弹出Attack 对话框，在对话框左侧的选择列表框中选择所有的测试项，如图12-26所示。

图12-26选择测试项

• 步骤6：单击Start 按钮，生成测试结果，如图12-27所示。

图12-27显示测试结果

观察返回结果，根据WSDL 接口定义，判断返回事件是否成功，预期结果为不能返回正确的结果。

(2)接口认证、鉴权、机密性、完整性、审计日志测试。

检查接口认证、鉴权、机密性、完整性、审计日志措施是否恰当。具体测试步骤如下：

• 步骤1：运行WSDigger 工具(WSDigger 工具进行自动检查)，并单击右下角的Next 按钮，进入WSDL 页面。

• 步骤2：在WSDL 输入框中输入接口的WSDL 地址， 格式为http://PortalIP:Port/Path/Interface?wsdl，如地址http://10.164.23.191:8080/jboss-net/services/Register?wsdl。

• 步骤3：单击Get Methods 按钮，获取接口方法。

• 步骤4：在左侧的接口方法树形框中选择要测试的方法。

• 步骤5：单击图12-25中Input 列表框中的各个参数，并在Input Value 框中输入相应的参数值(参数值为每个接口方法所定义的结果值)。

• 步骤6：单击Invoke 按钮，观察返回信息。

• 步骤7：分析接口是否存在认证、鉴权机制，是否存在机密性、完整性措施，是否记录接口调用日志。

Web Service 接口存在完善的认证、鉴权机制，存在机密性、完整性保护措施，对接口调用有详细的调用日志记录。

本章主要从功能测试、性能测试、GUI 测试、兼容性测试和安全性测试五个方面介绍Web 系统的测试方法。详细介绍了功能测试、GUI 测试和安全测试，性能测试和兼容性测试在后面的章节中有详细的介绍。相比于其他几个方面，性能测试和安全性测试是重中之重，也是测试的难点所在，这两个方面在实际工作中逐渐发展成两个独立的分支。

大家觉得文章有用的话一定要关注我们，每天来这里和小编一起学习涨薪技能哦。