SoapUI 安全测试

安全测试是一种在 SoapUI 中使用的测试类型，用于衡量 Web 服务或 Web API 中潜在风险、威胁、漏洞的发现。它可以防止黑客或入侵者的恶意攻击。使用安全测试的目的是找出所有可能的漏洞，揭示可能影响网络数据和一些敏感信息的故障和网络服务的弱点。因此，SoapUI 使用安全测试来确保 Web 服务和 Web API 的授权和真实性。

安全测试的类型

以下是SoapUI 中使用的各种类型的安全测试。

1. SQL 注入：在 SoapUI 中使用 SQL 注入扫描来检测数据库编码的不良集成以及可能损坏数据库的任何可能的 SQL 注入。这样，SQL 注入就保护了数据库。
2. XPath 注入：在 SoapUI 中使用 XPath 注入，以利用 XML 在 Web 服务内部的不良处理作为目标。
3. 无效类型：顾名思义，无效类型用于检查和利用 Web 服务中使用的所有无效输入数据。
4. 恶意附件：恶意安全附件用于扫描附件的所有不良处理。
5. 边界扫描：边界扫描安全测试用于检查对超出范围定义的 Web 服务值的处理不当。
6. 格式错误的 XML：格式错误的 XML 安全扫描用于检查和利用对可以在 Web 服务器或 Web 服务中呈现的无效 XML 的不良处理。
7. 自定义脚本：自定义脚本是一种安全扫描，允许我们使用脚本创建覆盖值的自定义参数。
8. XML Bomb：术语 XML Bomb 是一种安全扫描，用于处理恶意 XML 请求，该请求可能会破坏服务器上的整个 Web 服务或窃取一些敏感信息。
9. Cross-Site Scripting：这是一种在跨站点脚本编写过程中使用的安全扫描，用于查找 Web 服务器中服务参数的任何易受攻击的风险。

其他 SoapUI 安全扫描功能

1. 堆栈溢出：堆栈溢出是一种在 SoapUI 中使用的安全测试，用于扫描和定位消息中的巨大文档，从而导致堆栈溢出。
2. 救生扫描：救生扫描是一种在 SoapUI 中使用的安全测试，用于执行扫描次数并确保 Web 服务和 Web API 的安全。

在 SoapUI 中执行安全测试的步骤

要创建 Soap 项目的安全测试，请遵循以下步骤。

第1步：在右键单击安全测试中的计算总和TestCase的，如下图所示。

第二步：点击New Security test，弹出对话框进入Security Test，如下图。

步骤 3：单击 OK 按钮后，将显示安全测试 1的弹出窗口，如下所示。

在上图中，我们为计算总和测试用例中的“请求总和”测试步骤运行安全测试。此外，我们还可以通过新建Soap项目来检查登录和注销测试用例的真实性，甚至我们还可以检查REST项目的安全测试。

第 4 步：在这里，我们检查“Request for Sum”测试步骤的安全测试。选择总和请求并单击显示弹出对话框的图标以选择安全测试，如图所示。

第 5 步：在这里，我们选择边界扫描来运行安全测试，然后单击确定按钮。单击确定按钮后，将显示边界扫描的弹出窗口，如下所示。

第六步：现在，点击（+）图标添加参数，弹出对话框设置标签、名称、XPath等参数，如图所示。

在这里，我们选择Request for Parameter Name，Label 为Sum，XPath 为//ns1:AddResult，然后单击OK，如下图所示。

第7步：一旦添加按钮被点击，安全测试步骤参数将被添加到边界扫描窗口，如下图所示。

第 8 步：现在单击 (+) 图标为每个参数添加断言。当 (+) 图标被按下时，它会显示一个弹出窗口来添加断言，如下所示。

步骤9：点击OK按钮设置Contains的断言，然后点击OK按钮进一步处理，如图所示。

第 10 步：在此之后，单击OK按钮添加边界扫描的断言。同样，为另一个参数再添加一个断言，如下所示。

步骤 11：单击确定按钮在安全测试 1窗口中添加边界扫描，如下图所示。

同样，添加更多类型的安全测试，然后单击运行按钮来测试测试用例的安全性，如下所示。

第 12 步：现在，单击运行图标（绿色三角形）以执行安全测试，如下图所示。

此外，我们可以通过单击安全日志来检查安全测试 1 的状态。