使用Postman工具进行系统账号安全性测试

随着信息化水平不断提升,系统越来越多,很多系统登录采用账号密码方式,存在弱密码账号的系统也不少,为了提升安全性,我们需要做安全性检测,检测工具很多,我使用postman进行了简单的实验,将这个方法分享给大家。
在进入具体操作之前,先说一下整体的思路,其实就是拿很多个弱密码账号去做登录验证,如果其中某些账号验证能登录,就证明该系统存在弱密码账号。枚举的弱密码账号可能上千或者上万个,这个事情手工做不科学,可以用postman的批量请求方式轻松实现。

一、准备模拟登录验证系统脚本
由于只是测试,我的验证脚本很简单,程序接收到请求数据后判断,如果提交的账号密码正确系统会返回“success”,如果提交的账号密码错误系统会返回“error”。

二、打开postman,设置接口请求信息
与一般模拟请求相比,主要在请求参数和断言(tests)设置上有差异。
1.请求参数键值对的值要写为变量格式,用双大括号包裹,如:{{username}}

 

2.断言(tests)主要是设置对请求返回信息的处理方式,脚本也很丰富强大,有兴趣的朋友可以网上搜索,在这里贴出我的断言。

以上代码的意思,就是匹配返回信息中是否含有“success”字符串,匹配到就代表成功,输出“Body is correct”告知我。
到这里请求信息设置完毕,保存请求即可准备使用了。

三、准备测试账号
可以自己枚举风险账号,也可以到网上找,把账号保存为json对象文件,结构与请求参数保持统一。


四、使用runner执行批量请求,实现测试效果
启动runner后(在postman左上角),选择刚刚准备好请求信息和测试账号,即可启动测试了。

简单解释一下几个参数的意思:

Iterations:批量执行的次数(与json数组个数相同)。
Delay:每次循环的间隔时间,防止请求过快拖死系统。
Data:请求数据(选择准备好的json文件即可)。
点击运行按钮,就可能看到执行效果了:

网友评论

0条评论

发表

网友评论

0条评论

发表

最新评论

推荐文章

彩龙

Copyright © 2008-2022 彩龙社区 版权所有 All Rights Reserved.

免责声明: 本网不承担任何由内容提供商提供的信息所引起的争议和法律责任。

经营许可证编号:滇B2-20090009-7

下载我家昆明APP 下载彩龙社区APP