一接口防刷案例分析
1案例
黄牛在12306网上抢票再倒卖并牟利。
恶意攻击竞争对手,如短信接口被请求一次,会触发几分钱的运营商费用。
进行压测时,用Apache Bench做压力测试。
根据当前网页
缺点:没有任何意义,刷新页面后用户的身份就变了;
根据session
缺点:当用户手动清除 cookie 的时候即失效;
根据ip
优点:伪造成本高;
缺点:要考虑一个公司、一个小区的人一般会共享一个
,如: 要求输入数字则检查正值,负值,零值(正零,负零),小数,字母,空值; 要求输入字母则检查输入数字;
8.输入html和javascript代码;
9.对于像回答数这样需检验数字正确性的测试点,不仅对比其与问题最终页的回答数
安全风险:此时用户通过工具校验发送消息将userid设置为2后是否登录成功,及用户是否可以通过修改userid来访问其它用户资源,引发严重问题。
3 总结
接口安全性测试用例与一般测试用例的区别如下。
相同点:基本的用例设计方法,参照相同的需求和业务;
不同点:不受界面限制,逻辑性更重,存在隐藏内容,特殊值更多,传输格式种类繁多。