在Linux上使用Postman进行安全测试的步骤如下:
-
安装Postman
- 使用Snap安装(推荐):
sudo snap install postman。
- 手动安装:下载Linux版本安装包,解压后通过符号链接添加到系统路径。
-
基础安全配置
- 启用HTTPS:确保请求URL以
https://开头,验证服务器证书有效性。
- 环境变量管理:在
Manage Environments中存储API密钥、Token等敏感信息,避免硬编码。
- 禁用敏感信息保存:在设置中关闭自动保存密码等功能。
-
安全测试类型
- 输入验证测试
- 构造SQL注入请求(如
' OR '1'='1),检查服务器是否过滤恶意输入。
- 测试XSS攻击:在请求体或参数中插入
<script>标签,验证是否被拦截。
- 认证与授权测试
- 使用Basic Auth、Bearer Token或OAuth 2.0验证权限,尝试未授权访问。
- 检查Token过期或无效时的响应逻辑。
- 加密与传输安全
- 确认API使用HTTPS,通过
pm.request.setProtocolVersion(1.2)指定TLS版本。
- 测试敏感数据(如密码、身份证号)是否在传输中被加密。
- CSRF防护测试
- 构造跨站请求,验证是否需携带有效CSRF Token(如
X-CSRF-Token头部)。
-
自动化与工具集成
- 编写测试脚本(JavaScript):在
Tests标签页添加断言,如验证状态码、响应体是否包含敏感信息。
- 集成持续集成(CI):通过Newman工具批量运行测试集合,生成HTML报告。
-
辅助工具与报告
- 安装Burp Suite等插件,增强漏洞扫描能力。
- 记录测试结果,生成包含漏洞描述、影响范围的安全报告。
注意事项:
- 仅在授权范围内测试,避免对生产环境造成影响。
- 定期更新Postman及插件,获取最新安全功能。
参考来源: