API攻防:Web API安全指南
上QQ阅读APP看书,第一时间看更新

第0章 为安全测试做准备

API安全测试不同于一般的渗透测试,也不属于网络应用渗透测试的范畴。由于许多组织的API攻击面具有庞大的规模和复杂性,API安全测试成为一项独特的服务。

本章将探讨在进行API安全测试时,应纳入测试范围并进行记录的API特性,以及在进行攻击前需要准备的事项。相关内容将有助于读者评估参与此项活动的相关工作量,以确保全面测试目标API的各个方面并避免一些潜在的困扰。

在进行API安全测试时,需要明确界定测试范围,或者列出一份允许测试的目标和特性清单,这样做是为了确保客户和测试人员对API安全测试有一致的理解。界定一个API安全测试的参与范围,主要取决于 6 个因素:测试方法论、测试范围、目标特性、测试限制、报告要求,以及是否计划进行修复后的二次测试。