接口调用重放测试。 接口调用遍历测试

接口调用重放测试

测试原理和方法

在短信、邮件调用业务或生成业务数据环节中，如短信验证码、邮件验证码、订单生成、评论提交等，对业务环节进行调用(重放) 测试。如果业务经过调用(重放) 后多次生成有效的业务或数据结果，可判断为存在接口调用 (重放)问题。

 测试过程

在进行接口调用重放测试时，攻击者与普通用户的区别在于他会通过工具(如Burp Suite) 抓取订单请求，然后在短时间内通过Burp Suite工具的Repeater对请求(如订单请求) 进行多次重放，服务器则会根据请求在短时间内执行多个有效操作(如生成订单)。
测试过程以某购买机票系统为例。

步骤一: 如图所示，在购买机票“提交订单”环节抓取数据包

 

 步骤二: 如图 所示，使用Burp Suite工具对生成订单的数据包进行重放测试。

 
步骤三: 如图 所示，查看返回结果，订单在1分钟内重复生成。