对Web Service 接口进行的测试

　　一天一个关于测试知识点，5分钟内讲解你最关心的软件测试问题，今天就来谈谈关于软件测试中的“Web Service 测试”。

Web Service 测试主要是通过工具检查Web Service 接口是否存在SQL 注入、XSS 注入和XPATH注入漏洞，检查接口论证、鉴权、机密性、完整性、审计日志措施是否恰当。

　　(1)接口SQL 注入、XSS 注入和XPATH 注入测试。

　　通过工具自动检查Web Service 接口是否存在SQL 注入、XPATH 注入、跨站脚本漏洞，具体的测试步骤如下：

•   步骤1：运行WSDigger 工具(WSDigger 工具进行自动检查)，并单击右下角的Next 按钮，进入WSDL 页面。

•   步骤2： 在WSDL 输入框中输入接口的WSDL 地址，格式为http://PortalIP:Port/Path/Interface?wsdl，如地址http://10.164.23.191:8080/jboss-net/services/Register?wsdl，如图12-23 所示。

•   步骤3：单击Get Methods 按钮，获取接口方法，如图12-24 所示。

图12-23 设置WSDL 地址

图12-24 获取接口方法

•   步骤4：在左侧的接口方法树形框中选择要测试的方法，如图12-25 所示。

图12-25 选择测试方法

•   步骤5：单击菜单项Attacks→Select Attack Type，弹出Attack 对话框，在对话框左侧的选择列表框中选择所有的测试项，如图12-26 所示。

图12-26 选择测试项

•   步骤6：单击Start 按钮，生成测试结果，如图12-27 所示。

图12-27 显示测试结果

　　观察返回结果，根据WSDL 接口定义，判断返回事件是否成功，预期结果为不能返回正确的结果。

　　(2)接口认证、鉴权、机密性、完整性、审计日志测试。

　　检查接口认证、鉴权、机密性、完整性、审计日志措施是否恰当。具体测试步骤如下：

•   步骤1：运行WSDigger 工具(WSDigger 工具进行自动检查)，并单击右下角的Next 按钮，进入WSDL 页面。

•   步骤2： 在WSDL 输入框中输入接口的WSDL 地址， 格式为http://PortalIP:Port/Path/Interface?wsdl，如地址http://10.164.23.191:8080/jboss-net/services/Register?wsdl。

•   步骤3：单击Get Methods 按钮，获取接口方法。

•   步骤4：在左侧的接口方法树形框中选择要测试的方法。

•   步骤5：单击图12-25 中Input 列表框中的各个参数，并在Input Value 框中输入相应的参数值(参数值为每个接口方法所定义的结果值)。

•   步骤6：单击Invoke 按钮，观察返回信息。

•   步骤7：分析接口是否存在认证、鉴权机制，是否存在机密性、完整性措施，是否记录接口调用日志。

　　Web Service 接口存在完善的认证、鉴权机制，存在机密性、完整性保护措施，对接口调用有详细的调用日志记录。

　　今天关于“Web Service 测试”的内容就给大家讲解到这里，本章主要从功能测试、性能测试、GUI 测试、兼容性测试和安全性测试五个方面介绍Web 系统的测试方法。详细介绍了功能测试、GUI 测试和安全测试，性能测试和兼容性测试在后面的章节中有详细的介绍。相比于其他几个方面，性能测试和安全性测试是重中之重，也是测试的难点所在，这两个方面在实际工作中逐渐发展成两个独立的分支。希望讲解的对做这些工作的小伙伴有帮助~欢迎大家每天和我一起学习更多涨薪技能哦。