電力信息系統外部接口測試規范II目次前言 II1范引文件 1語定義 1略語 2試境 2口試述 2外接類型 2測方法 3測類型 3能試 3通功測試 3非用能試 3功測試 5性（率測試 5穩性試 6全試 6通安測試 6非用全試 7附錄A（料附）測試具 10附錄B（料附）安全試法例 12附錄C（料附）接口務表 16附錄D（料附）功能試法例 17附錄E（料附）非功測方示例 19附錄F（料附）綜合價法 21PAGEPAGE10電力信息系統外部接口測試規范范圍本文件規定了電力信息系統外部接口在投運前需要滿足的測試要求和測試方法。本文件適用于電力信息系統外部接口測試環節。（GB/T8566軟件生存周期過程GB/T11457—2006信息技術軟件工程術語GB/T15532計算機軟件測試規范GB/T25069信息安全技術術語GB/T29831系統與軟件功能性GB/T29835系統與軟件效率GB/T37096信息安全技術辦公信息系統安全測試規范GB/T11457—2006和GB/T15532界定的以及下列術語和定義適用于本文件。3.1接口測試interfacetesting引導以評價系統或部件能否相互正確地傳送數據與控制信息的測試。[GB/T11457—2006，定義2.800]3.2黑盒測試blackboxtesting3.3外部接口externalinterface主要為信息系統為外部系統提供服務的交互點。3.4HTTP接口HTTPinterface基于HTTP協議實現的外部接口。3.5WebService接口WebServiceinterface基于WebService協議實現的外部接口。3.6Socket接口Socketinterface基于Socket協議實現的外部接口。3.7WebSocketWebSocketinterface3.8電力信息系統Powerinformationsystem網絡縮略語下列縮略語適用于本文件。HTTP（HyperTextTransferProtocol）JSON：JS（JavaScriptObjectNotation）SQL（StructuredQueryLanguage）URL（UniformResourceLocator）XML（ExtensibleMarkupLanguage）Xpath：XML（XMLPathLanguage）AGB/T15532HTWebervceokeebScket接口。本文件適用的電力信息系統外部接口測試類型包括：C；D；GB/T37096E。本文件適用的電力信息系統外部接口測試綜合評價方法見附錄F。測試項測試操作步驟：測試預期結果：HTTP測試項具體測試項應包括：測試請求參數的個數、屬性、順序對外部接口的影響。測試操作步驟：測試預期結果：WebService測試項具體測試項應包括：測試操作步驟：測試預期結果：Socket測試項具體測試項應包括：測試操作步驟：測試預期結果：WebSocket測試項具體測試項包括：/WebSocket測試操作步驟：HTTP測試預期結果：HTTP性能）測試項具體測試項包括：（TPS）CPUCPUI/O測試操作步驟：測試預期結果：（TPS）0.1%。測試項具體測試項包括：接口服務端承受最大并發數量持續運行4小時。CPUI\O測試項具體測試項包括：/SQLXSS測試操作步驟：測試預期結果：如：APPID）；8（（IP）（TLS（V1.2IPSecHTTP測試項具體測試項應包括：Xpath測試操作步驟：sessionidrandom_id）URL）Xpath測試預期結果：XpathWebService測試項具體測試項應包括：NULL0、-1測試操作步驟：NULL、、-1測試預期結果：Socket測試項具體測試項應包括：IP測試操作步驟：IPsocket測試預期結果：IPWebSocket測試項具體測試項應包括：測試操作步驟：測試預期結果：附錄A（資料性附錄）測試工具lP概述僅pingtelnetnslookuporacle13513944514331521附錄B（資料性附錄）接口服務表接口服務表見表B.1，對接口服務關鍵項進行描述：表B.1接口服務表關鍵項描述接口編號根據設計標準定義接口編號接口名稱使用中文名稱，反映接口業務特性，簡明扼要接口功能描述具體說明該接口的接口聲明、功能說明、調用方法、通信協議和注意事項接口地址調用該接口時使用的接口地址接口方法在正確的接口地址內描述的接口方法接口框架調用接口方法時是否使用框架接口版本對使用接口有版本要求，應給出版本說明及控制要求輸入參數應逐項進行說明，包括輸入參數的數據類型、是否為空、格式和限制要求等返回參數應逐項進行說明，包括返回值得類型、格式、含義和限制性要求進行說明接口約束性能要求，應說明接口響應能力、并發支持和穩定性等要求及相關指標異常處理應給出接口的異常事件說明，如異常事件代碼、類型和響應策略等備注日志附錄C（）C.1。表C.1接口服務表示例關鍵項描述接口編號—接口名稱查詢接口接口功能描述查詢某個正在測評的apk進度接口接口地址http://{服務器ip:服務器端口}/v4/search_one_progress接口方法POST傳輸格式JSON接口版本—輸入參數Key:paramValue:{"token":"97f764de731311e69df414dda9d31b1f","taskid":5801,"signature":"997a9d207c461e4f2abf11ef2fc72d15"}返回參數正常情況：{"task_id":8935,"item_knum":46,"msg":"\u8bf7\u6c42\u6210\u529f","state":200,"item_num":7}接口約束—異常處理—備注[選填參數]Key:param[必填參數]taskid:測評任務id[必填參數]token:[必填參數]signature:簽名信息(由Md5(username+appkey+appsecret)生成)整體結構需轉成jsonC.2。表C.2功能測試方法示例序號測試項測試方法示例1發送數據時檢查輸入參數的個數對外部接口的影響使用接口測試工具對輸入參數的個數調整后進行發送，即輸入參數為：Key:paramValue:{"token":"97f764de731311e69df414dda9d31b1f","taskid":5801},發送后接口返回報錯信息。2發送數據時檢查輸入參數的屬性對外部接口的影響使用接口測試工具對輸入參數的屬性調整后進行發送，即輸入參數為：Key:paramValue:{"token":"97f764de731311e69df414dda9d31b1f","taskid":test,"signature":"997a9d207c461e4f2abf11ef2fc72d15"},發送后接口返回報錯信息。3發送數據時檢查輸入參數的順序對外部接口的影響使用接口測試工具對輸入參數的順序調整后進行發送，即輸入參數為：Key:paramValue:{"taskid":5801,"signature":"997a9d207c461e4f2abf11ef2fc72d15","token":"97f764de731311e69df414dda9d31b1f"},發送后接口返回報錯信息。4發送數據時檢查輸入參數的必填項對外部接口的影響使用接口測試工具對輸入參數的必填項調整后進行發送，即輸入參數為：Key:paramValue:{"token":"","taskid":5801,"signature":""},發送后接口返回報錯信息。5發送數據時檢查輸入參數的選填項對外部接口的影響使用接口測試工具對輸入參數的選填項調整后進行發送，即輸入參數為：Key:Value:{"token":"97f764de731311e69df414dda9d31b1f","taskid":5801,"signature":"997a9d207c461e4f2abf11ef2fc72d15"},發送后接口返回報錯信息。，，附錄D（）性能）D.1。表D.1性能（效率）測試方法示例名稱查詢接口性能（效率）測試版本號-測試目的測試查詢接口的性能前置條件待測接口已完成功能測試，已構建鋪底數據測試時間-測試環境WindowsServer2008R2企業版測試場景初始50個線程，每15s增加50個用戶，共計150個用戶；思考時間：0s；持續時間：5min操作監控指標響應時間通過事務數失敗事務數每秒通過事務數應用服務器使用性能測試工具模擬接口調用操作步驟，與服務建立連接，傳輸數據CPU占用率并能得到正確的服務器反饋內存占用率硬盤I/O讀寫數據庫服務器CPU占用率內存占用率硬盤I/O讀寫，，D.2。表D.2穩定性測試方法示例名稱查詢接口穩定性測試版本號-測試目的測試查詢接口的穩定性前置條件待測接口已完成性能（效率）測試測試時間-測試環境WindowsServer2008R2企業版測試場景初始50個線程，每15s增加50個用戶，共計150個用戶；思考時間：0s；持續時間：4h操作監控指標響應時間通過事務數失敗事務數每秒通過事務數應用服務器使用性能測試工具模擬接口調用操作步驟，與服務建立連接，傳輸數據CPU占用率并能得到正確的服務器反饋內存占用率硬盤I/O讀寫數據庫服務器CPU占用率內存占用率硬盤I/O讀寫附錄E（）安全測試方法示例見表E.1。表E.1安全測試方法示例序號測試項測試方法示例1越權訪問漏洞首先使用工具抓取A用戶功能鏈接，然后登錄B用戶對此鏈接進行訪問；AIDIDBDBB通過抓包工具替換不同用戶cookie的方法進行測試。2明文傳輸使用工具抓取有關用戶口令的數據包（如登錄、添加用戶、更改密碼等），查看數據包中提交的相關參數；系統內所涉及到口令等隱私數據傳輸地方應做加密處理；不應使用MD5等易被破解的加密方式和Base64編碼、URL編碼等方式解決此類問題。3SQL注入漏洞在系統請求參數后加上SQL測試語句如“and1=1”，即地址欄中填入“http:///page.xxx?name=valueand1=1”,返回正確；在被測參數后加上測試語句“and1=2”SQL若請求參數為字符型參數則使用“’and'1’=’1and'1’=’2”；如確定存在SQL注入漏洞，則需要手工構造SQL注入語句或者使用Sqlmap進一步測試。4XSS漏洞如在輸入參數中輸入<script>alert(123)</script>等XSS測試語句，如/index.php?user=<script>alert(123)</script>，若彈出提示框，則說明存在跨站漏洞。5上傳漏洞（gifgifhacker.gifhttpproxy（BurpSuite）http重新點擊“瀏覽”按鈕，并選擇hacker.gif，確認上傳；BrSiehtphakrgfhakrjpwebshell，也可通過文件解析漏洞和截斷等測試該漏洞。6后臺泄露漏洞根據抓取系統URL構造出出一些常見的web服務器后臺泄露url地址如：tomcat控制臺url：:8080/manager/htmlweblogic控制臺url：:7001/console。7敏感信息泄露JSBurpSuite（顯示以下信息都屬于敏感信息泄露：網站絕對路徑；SQL中間件版本；程序異常等。表E.1（續）序號測試項測試方法示例8命令執行已知某頁面url（假設為/abc.jsp）接收參數，且參數中接收類似于系統命令的字符（假設為cmd=ls）；則更改參數的值為其他命令，可以嘗試以下一些字符串：Netuser、Ipconfig、cat/etc/passwd，并在瀏覽器地址欄輸入更改后的URL，如/abc.jsp?cmd=ipconfig，命令可以被執行；WeblogicStruts2（Struts2S2-016、S2-019、S2-037、S2-045、Weblogic、Jboss漏洞等）。9目錄遍歷漏洞在瀏覽器地址欄輸入網站目錄，如/test/，查看test文件夾內的文件能否被列出來。10關鍵會話重放攻擊使用工具抓取網站登錄會話請求包；使用用戶或密碼字典替代登錄請求會話中對應的用戶或密碼參數，開始嘗試暴力破解。如發現響應碼和響應長度不同，則此條會話中猜解的用戶名和密碼正確或用戶名正確。11CSRF（跨站請求偽造）登錄網站，使用工具構造CSRFPOC,并保存在HTML文件中；如訪問HTML文件成功，則構造HTML的預期功能實現，并確認存在CSRF漏洞。12任意文件包含/任意文件下載/viewfile.do?filename=report.xls，更改其參數的值為其他文件路徑；并在瀏覽器地址欄中嘗試以下更改參數后的url：/viewfile.do?filename=../etc/passwd/viewfile.do?filename=../../etc/passwd/viewfile.do?filename=../../../etc/passwd觀察能否獲得/etc/passwd文件內容。13設計缺陷/邏輯錯誤在測試中可以根據下列方法進行測試：首先，測試人員應盡量理解業務系統；其次，提煉各種業務場景和工作流程；最后，設計業務邏輯測試。測試時可按照以下方法：修改數值（SQL）；驗證碼爆破（如：4）；修改響應包（如：通過修改登錄響應包，密碼錯誤時可登陸系統）；修改密碼（如：修改密碼邏輯問題）；服務端無有效驗證；（漏洞）；返回密碼信息（如：響應包中返回密碼信息）；密碼明文存儲（如：前臺存儲明文密碼信息）；登錄用戶提示（如：提示用戶是否存在，可猜解正確的用戶名）等。表E.1（續）序號測試項測試方法示例14XML實體注入BurpSuiteXMLXMLversion="1.0encoding="ISO-8859-1Linux系統：<?xmlversion="1.0"encoding="UTF-8"?><!DOCTYPEUserInfo[<!ENTITYnameSYSTEM"file:///etc/passwd">]><UserInfo><name>&name;</name></UserInfo>Window系統：<?xmlversion="1.0"encoding="UTF-8"?><!DOCTYPEUserInfo[<!ENTITYnameSYSTEM"file:///c:/boot.ini">]><UserInfo><name>&name;</name></UserInfo>如可讀取服務器上的文件內容，則存在該漏洞。15檢測存在風險的無關服務和端口135、139445CVE-2008-4250M