本發明涉及一種基于fiddler的安全越權問題批量測試方法和裝置，包括：通過fiddler獲取待測接口的接口信息；對測試例集的參數信息和公共越權接口的斷言進行配置；將配置后的參數信息批量替換掉待測接口的原始認證信息，得到替換后的認證信息；根據替換后的認證信息批量觸發訪問每個待測接口，以使待測接口執行訪問請求；獲取服務器根據訪問請求返回的響應數據，并將響應數據與斷言內容進行比較；根據比較結果判定測試結果。本發明通過fiddler獲取待測的接口信息，且對于不同接口無需關注接口內容的變化，提高了測試效率；通過對參數信息和斷言內容進行批量替換，簡化了測試執行的配置操作，使測試者更簡單便捷的進行測試。

技術領域

本發明涉及計算機應用技術領域，具體涉及一種基于fiddler的安全越權問題批量測試方法和裝置。

背景技術

越權漏洞是Web應用程序中一種常見的安全漏洞。在項目的測試過程中，在完成基礎功能測試后，為了確保一定級別的接口具備權限限制，以防止非權限相關人員操作該功能接口，杜絕越權漏洞，還需要對這些接口進行權限訪問測試。

現有技術中的權限測試，有的是通過瀏覽器的開發工具，捕獲接口的全部信息，再通過接口管理工具(postman，jmeter，或者公司內部自研的接口自動化工具)進行模擬驗證；還有的是通過fiddler(fiddler是HTTP調試抓包工具)在訪問請求前打斷點，替換身份認證信息后，釋放請求，從而根據響應結果，驗證權限是否驗證通過。

現有技術通過先捕獲接口，再通過接口管理工具進行模擬測試，前期需要消耗大量的人力進行編寫和維護接口用例；此外，單接口逐一驗證，接口數量多，執行時間常，效率很低；fiddler打斷點抓包，采用現測現抓的方式，驗證完畢后的數據無法利用，不利于接口的后期管理和回歸測試。

發明內容

有鑒于此，本發明的目的在于克服現有技術的不足，提供一種基于fiddler的安全越權問題批量測試方法和裝置，以降低人力投入、提高越權檢測的效率，并通過對測試數據進行保存，便于接口的后期管理和回歸測試。

為實現以上目的，本發明采用如下技術方案：一種基于fiddler的安全越權問題批量測試方法，包括：

通過fiddler獲取待測接口的接口信息；所述接口信息包括原始認證信息；

對測試例集的參數信息和公共越權接口的斷言進行配置；

將配置后的參數信息批量替換掉待測接口的原始認證信息，得到替換后的認證信息；

按照特定的批次順序，根據替換后的認證信息批量觸發訪問每個待測接口，以使待測接口執行訪問請求；

獲取服務器根據訪問請求返回的響應數據，并將響應數據與斷言內容進行比較；

當響應數據與斷言內容相符時，判定該待測接口的測試結果為通過；否則，該待測接口的測試結果為不通過。

可選的，所述通過fiddler獲取待測接口的接口信息，包括：

打開fiddler，并開啟捕獲開關，使所有接口的接口信息均能夠被捕獲；

根據實際需要訪問并操作被測系統，篩選出待測接口，剔除無關接口，并獲取所述待測接口的接口信息。

可選的，所述原始認證信息為：待測接口的原始cookie信息；

對測試例集的參數信息和公共越權接口的斷言響應進行配置，包括：

將代表無權限訪問者的認證信息填入到測試例集的參數配置中；以及，

配置公共越權接口的斷言內容。

可選的，還包括：

對待測接口的接口信息進行存儲，以便后期管理。