SoapUI 安全测试

安全测试是一种在 SoapUI 中使用的测试类型，用于衡量 Web 服务或 Web API 中潜在的风险、威胁和漏洞。它可以防止来自黑客或入侵者的恶意攻击。使用安全测试的目的是识别所有可能的漏洞，揭示可能影响数据和某些 Web 服务的缺陷和弱点。 因此，SoapUI 使用安全测试来确保 Web 服务和 Web API 的授权和真实性。

安全测试的类型

以下是在 SoapUI 中使用的各种类型的安全测试。

1. SQL 注入： SQL 注入扫描在 SoapUI 中用于检测数据库代码的集成是否良好，以及可能破坏数据库的任何 SQL 注入。 这样，SQL 注入可以保护数据库。
2. XPath 注入： XPath 注入在 SoapUI 中使用，它利用 XML 在 Web 服务内部的糟糕处理作为目标。
3. 无效类型： 顾名思义，无效类型用于检查和利用 Web 服务中使用的所有无效输入数据。
4. 恶意附件： 恶意安全附件用于扫描所有对附加文件的错误处理。
5. 边界扫描： 边界扫描安全测试用于检查 Web 服务值在范围定义之外的错误处理。
6. 格式错误的 XML： 格式错误的 XML 安全扫描用于检查和利用对无效 XML 的错误处理，这些 XML 可以在 Web 服务器或 Web 服务上呈现。
7. 自定义脚本： 自定义脚本是一种安全扫描，允许我们使用脚本创建覆盖值的自定义参数。
8. XML 炸弹： 术语 XML 炸弹是一种安全扫描，用于处理可能破坏服务器上的整个 Web 服务或窃取某些敏感信息的恶意 XML 请求。
9. 跨站脚本： 它是一种安全扫描，用于在跨站脚本期间查找 Web 服务器中服务参数的任何易受攻击的风险。

其他 SoapUI 安全扫描功能

1. 堆栈溢出： 堆栈溢出是一种在 SoapUI 中使用的安全测试，用于扫描和定位消息中的巨大文档，从而导致堆栈溢出。
2. 救生扫描： 救生扫描是一种在 SoapUI 中使用的安全测试，用于执行大量扫描并确保 Web 服务和 Web API 的安全性。

在 SoapUI 中执行安全测试的步骤

要为 Soap 项目创建安全测试，请按照下面给出的步骤操作。

步骤 1： 右键单击计算总和测试用例的安全测试，如下所示。

步骤 2： 单击新建安全测试，它会显示一个弹出对话框以输入安全测试，如下所示。

步骤 3： 单击 OK 按钮后，将显示一个用于安全测试 1 的弹出窗口，如下所示。

在上图中，我们在 Calculate Sum TestCase 中运行 "Request for Sum" 测试步骤的安全测试。 此外，我们还可以通过创建一个新的 Soap 项目来检查登录和注销测试用例的真实性，甚至可以检查 REST 项目的安全测试。

步骤 4： 在这里，我们检查 "Request for Sum" 测试步骤的安全测试。 选择请求总和并单击 图标，该图标将显示一个弹出对话框以选择安全测试，如图像所示。

步骤 5： 在这里，我们选择边界扫描来运行安全测试，然后单击 OK 按钮。 单击 OK 按钮后，将显示一个用于边界扫描的弹出窗口，如下所示。

步骤 6： 现在，单击 (+) 图标以添加参数，该图标会弹出一个对话框，用于设置诸如标签、名称和 XPath 之类的参数，如图所示。

在这里，我们选择请求作为参数名称，标签为总和，XPath 为 //ns1:AddResult，然后单击 OK，如下图所示。

步骤 7： 单击添加按钮后，安全测试步骤参数将添加到边界扫描窗口，如下所示。

步骤 8： 现在，单击 (+) 图标以添加每个参数的断言。 当按下 (+) 图标时，它会显示一个弹出窗口以添加断言，如下所示。

步骤 9： 单击 OK 按钮以设置 Contains 的断言，然后单击 OK 按钮以进一步处理，如图像所示。

步骤 10： 在此之后，单击 OK 按钮以添加边界扫描的断言。 类似地，为另一个参数添加另一个断言，如下所示。

步骤 11： 单击 OK 按钮以在安全测试 1 窗口中添加边界扫描，如下图所示。

类似地，添加更多类型的安全测试，然后单击运行按钮以测试测试用例的安全性，如下所示。

步骤 12： 现在，单击运行图标（绿色三角形）以执行安全测试，如下图所示。

此外，我们可以通过单击安全日志来检查安全测试 1 的状态。