1. 系统级安全准备(Debian基础防护)
在Debian系统上使用Postman前,需先强化系统本身的安全性,降低攻击面:
sudo apt update && sudo apt upgrade,安装Postman及系统组件的安全补丁;ufw(Uncomplicated Firewall)限制入站/出站流量,仅允许可信端口(如80、443)访问;passwd命令或PAM模块设置复杂密码,避免弱密码泄露;sudo代替直接root登录,降低权限滥用风险。2. Postman自身安全配置
通过Postman的内置功能减少敏感信息泄露风险:
https://协议,确保数据传输加密;Settings → General → Environment Variables)存储敏感数据,通过{{variable_name}}引用;Settings → General中勾选“Do not save sensitive data”,防止Postman本地保存敏感信息;3. 使用专业工具进行安全扫描(以Porch Pirate为例)
Porch Pirate是针对Postman的开源OSINT工具,可自动化枚举公开Postman实体中的敏感信息:
python3 -m pip install porch-pirate(需提前安装Python 3.x);porch-pirate -s "example.com"(枚举该域名下的公开Postman工作区、集合);porch-pirate -w WORKSPACE_ID --dump(获取工作空间的全局变量、集合详情);porch-pirate -w WORKSPACE_ID --urls(导出所有请求URL,用于后续模糊测试);4. 结合第三方插件增强安全测试
Postman支持集成安全测试工具,自动化检测API漏洞:
Settings → Proxy中配置代理(如BurpSuite默认端口8080),将Postman请求转发至代理工具;if (response.text.includes("password")) console.log("敏感信息泄露!"));pm.test("Status code is 200", function () { pm.response.to.have.status(200); }))。5. 常规安全测试用例
通过Postman手动或自动化执行以下测试,覆盖常见API漏洞:
' OR '1'='1)、XSS(如<script>alert(1)</script>)的请求,检查服务器是否返回错误或过滤输入;401 Unauthorized;403 Forbidden;Content-Security-Policy、X-Content-Type-Options等安全头;6. 定期更新与维护
apt(若通过包管理器安装)升级至最新版本,获取安全修复;~/.postman/目录下的文件),发现异常访问行为;