作为开发人员,我们努力编写准确无误的代码,但实际上没有人这样做,因为……bug。为了在这些讨厌的bug对我们的应用程序造成严重破坏之前将其捕获,我们依赖于自动化测试。正向测试可以确保我们的代码按照预期运行,而负向测试则在验证我们的应用程序是否足够强大,在处理意外输入和边缘情况方面发挥着至关重要的作用。
我正在开发 Pythagora,这是一款开源工具,它可以自己编写自动化集成测试(当然,GPT-4 也会提供一些帮助),开发人员无需编写任何代码。基本上,你可以在 30 分钟内实现从 0 到 80% 的代码覆盖率。我们刚刚创建了一项功能,只需一条命令就能从整个测试套件中自动生成负向测试。在创建该功能时,我研究了破坏API服务器的不同方法,以测试它是否能正常处理错误。这里有一个全面的列表,如果被测代码不能正确处理错误,则有可能破坏服务器。
1. 必填字段为空或缺失
{"endpoint": "/api/users","body": {"username": "","email": ""},"method": "POST"}
2. 无效字段值 - 超过字符限制
{"endpoint": "/api/users","body": {"username": "ThisIsAnIncrediblyLongUsernameThatExceedsTheCharacterLimit"},"method": "POST"
3. 无效字段值-数据格式错误
{"endpoint": "/api/users","body": {"email": "invalid-email@"},"method": "POST"}
4. 有效负载中多余的或不相关的键
{"endpoint": "/api/users","body": {"username": "validuser","extra_key": "irrelevant_value"},"method": "POST"}
5. 不正确或无效的HTTP方法
{"endpoint": "/api/users/123","body": {},"method": "POST"}
6. 无效终端路径
{"endpoint": "/api/nonexistent_endpoint","body": {},"method": "GET"}
7. 在 POST 请求中使用查询参数而不是请求正文
{"endpoint": "/api/users?username=testuser","body": {},"method": "POST"}
8. 缺失或无效的身份验证标头(如 API 密钥)
{"endpoint": "/api/users","body": {},"method": "GET","headers": {"Authorization": "Invalid API_KEY"}}
9. 不正确的数据结构 - 数组而非对象
{"endpoint": "/api/users","body": ["username": "testuser","email": "test@example.com"],"method": "POST"}
10. 不正确的数据结构 - 对象而非数组
{"endpoint": "/api/users","body": {"users": {"username": "testuser","email": "test@example.com"}},"method": "POST"}
11. JSON格式问题-无效的Unicode字符
{"endpoint": "/api/users","body": {"username": "test\uFFFFuser"},"method": "POST"}
12. 有效负载中的重复键
{"endpoint": "/api/users","body": {"username": "testuser","username": "duplicate"},"method": "POST"}
13. 无效或不支持的内容类型(例如,发送XML而不是JSON)
{"endpoint": "/api/users","body": "<user><username>testuser</username><email>test@example.com</email></user>","method": "POST","headers": {"Content-Type": "application/xml"}}
14. 超过有效载荷大小限制
{"endpoint": "/api/users","body": {"large_data": "A very large data string that exceeds the server's payload size limit..."},"method": "POST"}
15. 无效或过期的身份验证令牌
{"endpoint": "/api/users","body": {},"method": "GET","headers": {"Authorization": "Bearer expired_token"}}
16. 在字段值中使用特殊字符
{"endpoint": "/api/users","body": {"username": "test!@#$%^&*()-user"},"method": "POST"}
17. 发送嵌套对象而不是简单的键值对
{"endpoint": "/api/users","body": {"user": {"username": "testuser","email": "test@example.com"}},"method": "POST"}
18. 以错误的数据类型(如字符串而非整数)发送数据
{"endpoint": "/api/users","body": {"age": "25"},"method": "POST"}
19. 为必需的字段发送空值
{"endpoint": "/api/users","body": {"username": null},"method": "POST"}
20. 在字段名中使用保留关键字
{"endpoint": "/api/users","body": {"class": "user"},"method": "POST"}
21. 发送不完整或格式错误的多部分上传文件
{"endpoint": "/api/upload","body": {"file": "incomplete_file_data"},"method": "POST","headers": {"Content-Type": "multipart/form-data"}}
22. 特殊字符的URL编码不正确或缺失
{"endpoint": "/api/users?username=test user","body": {},"method": "GET"}
23. 在 GET 请求中发送请求内容
{"endpoint": "/api/users","body": {"username": "testuser"},"method": "GET"}
24. 无效的日期或时间格式
{"endpoint": "/api/users","body": {"birthdate": "01-25-1990"},"method": "POST"}
25. 在字段名中使用非 ASCII 字符
{"endpoint": "/api/users","body": {"üsername": "testuser"},"method": "POST"}
26. 发送深度嵌套对象
{"endpoint": "/api/users","body": {"user": {"profile": {"details": {"nested": "too_deep"}}}},"method": "POST"}
27. 在字段值中使用不可打印字符或控制字符
{"endpoint": "/api/users","body": {"username": "test\u0008user"},"method": "POST"}
28. 用不同的值多次发送相同的字段
{"endpoint": "/api/users","body": {"username": "testuser","username": "different"},"method": "POST"}
29. 请求正文的内容长度标头缺失或无效
{"endpoint": "/api/users","body": {"username": "testuser"},"method": "POST","headers": {"Content-Length": "invalid"}}
30. 在字段名称中使用空格或特殊字符
{"endpoint": "/api/users","body": {"user name": "testuser"},"method": "POST"}
31. 发送无效或格式错误的JSONP回调
{"endpoint": "/api/users?callback=invalid(callback)","body": {},"method": "GET"}
32. 以单个字符串而不是键值对的形式发送有效载荷
{"endpoint": "/api/users","body": "username=testuser&email=test@example.com","method": "POST"}
33. 以字符串形式发送布尔值(例如,以 “true “代替 true)
{"endpoint": "/api/users","body": {"active": "true"},"method": "POST"}
34. 使用非标准 HTTP 方法(例如 PATCH、CONNECT)
{"endpoint": "/api/users/123","body": {"username": "updateduser"},"method": "PATCH"}
35. 发送不受支持的 HTTP 版本编号
{"endpoint": "/api/users","body": {},"method": "GET","httpVersion": "HTTP/3.0"}
36. 发送多个验证标头(如 API 密钥和令牌)
{"endpoint": "/api/users","body": {},"method": "GET","headers": {"Authorization": "Bearer token_value","API-Key": "api_key_value"}}
37. 发送不必要或无效的CORS标头
{"endpoint": "/api/users","body": {},"method": "GET","headers": {"Access-Control-Allow-Origin": "*"}}
38. 发送相互矛盾的查询参数和请求正文数据
{"endpoint": "/api/users?username=testuser","body": {"username": "different_user"},"method": "POST"}
39. 在身份验证头值中使用非标准字符
{"endpoint": "/api/users","body": {},"method": "GET","headers": {"Authorization": "Bearer t@ken_value"}}
40. 为只能接受正值的字段发送负数
{"endpoint": "/api/users","body": {"age": -25},"method": "POST"}
41. 发送超出预期范围的未来或过去的时间戳
{"endpoint": "/api/users","body": {"birthdate": "01-25-1800"},"method": "POST"}
42. 在字段值中使用HTML、JavaScript或SQL代码来尝试代码注入
{"endpoint": "/api/users","body": {"username": "<script>alert('test')</script>"},"method": "POST"}
43. 在有效载荷中使用不同的字符编码(例如,UTF-8, UTF-16)
{"endpoint": "/api/users","body": {"username": "téstuser"},"method": "POST","headers": {"Content-Type": "application/json; charset=UTF-16"}}
44. 发送混合数据类型的数组
{"endpoint": "/api/users","body": {"values": [1, "string", true]},"method": "POST"}
45. 以数组或对象的形式发送字段值,而不是简单的数据类型(例如,字符串,数字)
{"endpoint": "/api/users","body": {"username": ["testuser"]},"method": "POST"}
希望这份清单能为你提供测试和保护服务器的新思路。如果您觉得这篇文章很有价值,请在 Pythagora Github repo 上支持我们。如果你试用了它,请告诉我们你的反馈,我们很高兴听到你的反馈。
