这节介绍接口测试工具postman的基本使用方法, 测试系统就是2.8节自己开发的具有用户增删改查操作的web应用程序——[FirstJavaWeb](https:)。 执行测试前,确保FirstJavaWeb应用程序处于启动中。
下载后,双击安装即可:
链接: http://pan.baidu.com/s/10muL3Gp-RvCfV_fUgl1QTA 提取码: y6gg
启动后会提时注册,直接关掉即可。
http://localhost:8282/FirstJavaWeb/login
http://localhost:8282/FirstJavaWeb/user/list
点击左边 我的网站,右键-新建 request
http://localhost:8282/FirstJavaWeb/user/addUser
1、新增时,用户名超长:大于20个字符(数据库定义最长20);检查后台报错情况。发现后台没有做参数长度检查。
2、新增时,:用户名输入特殊字符 : &'*……%。数据报错,发现后台没有做特殊字符过滤。
3、新增时,sex输入“我”,发现后台没有做业务逻辑上的参数检查。
4、登录时,用户名输入:admin'#
密码任意输入:abc
登录成功,说明存在sql注入漏洞。
postman可十分便捷的对http接口进行测试,从上面测试发现,自己写的第一个网站,存在较多问题:没有做后台参数检查,存在sql注入漏洞等。
