Postman在CentOS上如何进行安全测试

在 CentOS 上使用 Postman 进行安全测试

一 环境准备与安装

• 安装桌面与浏览器（如未安装）：sudo yum groupinstall “Server with GUI” -y & & sudo yum install -y firefox
• 下载并安装 Postman（Linux 64 位）：
  • wget https://dl.pstmn.io/download/latest/linux64 -O postman.tar.gz
  • sudo mkdir -p /usr/local/postman
  • sudo tar zxvf postman.tar.gz -C /usr/local/postman
  • sudo ln -sfn /usr/local/postman/Postman/Postman /usr/bin/postman
• 可选：创建桌面快捷方式 /usr/share/applications/postman.desktop（Exec=/usr/bin/postman，Icon=/usr/local/postman/Postman/app/resources/app/assets/icon.png）
• 验证：在终端输入 postman 启动 GUI。以上步骤完成后即可在 CentOS 桌面环境使用 Postman 进行安全测试。

二 安全测试范围与用例设计

• 传输安全：仅使用 HTTPS/TLS；在 Postman 中确认 URL 以 https 开头，避免明文传输。
• 认证与会话：覆盖 Basic Auth、Bearer Token、OAuth 2.0 等机制；验证令牌过期、刷新与权限边界。
• 输入验证与注入：对查询参数、请求体、头部进行 SQL 注入、XSS 等负例测试，确认有输入校验与过滤。
• 错误处理与信息泄露：检查 4xx/5xx 响应是否泄露堆栈、数据库结构、密钥等敏感信息。
• 加密与数据保护：验证仅通过 TLS 传输；敏感数据（密码、令牌）不在日志或响应中回显。
• 授权与访问控制：越权测试（水平/垂直），如普通用户访问管理员接口应被拒绝。
• 速率限制与滥用防护：验证 429、限流策略与锁定机制是否生效。以上为在 Postman 中可直接覆盖的核心安全测试要点。

三 在 Postman 中执行安全测试

• 环境与变量：创建 开发/测试/生产 环境，使用变量如 { { apiUrl} } 、{ { access_token} } 管理不同环境的地址与凭据，避免硬编码。
• 认证配置：在 Authorization 中选择 Basic Auth、Bearer Token 或 OAuth 2.0；OAuth 2.0 可在 Postman 的授权流程中获取 access_token 并自动填充。
• 负例与注入测试示例（在请求 URL、Headers、Body 中使用变量与 payload）：
  • SQL 注入：GET /api/users?name=normal_user’ OR ‘1’='1
  • XSS：POST /api/comments
    • Body：{ “comment”: “” }
• 加密与协议：确保请求 URL 使用 https；如需约束 TLS 版本，可在 Pre-request Script 中设置（示例：pm.request.setProtocolVersion(1.2); ）。
• 错误处理断言：在 Tests 中验证错误响应不含敏感信息
  • pm.test(“Error response should not contain sensitive information”, function () { if (pm.response.code > = 400) { var sensitive = pm.response.text().match(/sensitive_data/i); pm.expect(sensitive).to.be.null; } } );
• 运行与验证：发送请求后查看 Test Results，确保正向与负向用例均按预期通过。

四 自动化与 CI/CD 集成

• 安装 Newman（Postman 命令行运行器）：npm install -g newman
• 导出资产：在 Postman 导出 集合 Collection（JSON） 与 环境 Environment（JSON）
• 本地运行示例：newman run my-api-tests.json -e test.env.json
• 持续集成示例（Jenkins/GitLab CI 等）
  • stages:
    • test
  • script:
    • npm install -g newman
    • newman run postman/collection.json -e postman/env.json --reporters cli,json --reporter-json-export report.json
• 报告与质量门禁：使用 cli/json/html 报告，结合阈值或失败用例数实现质量门禁，保障每次提交均执行安全回归。

五 合规与安全注意事项

• 仅在授权的目标环境与范围内测试，遵守系统与业务的 变更与审批 流程。
• 避免在生产环境进行破坏性测试（如写入/删除），优先使用测试或预发布环境。
• 妥善管理 令牌、证书与密钥，避免提交到代码仓库；使用 环境变量/密钥管理 机制。
• 对发现的漏洞按 负责任披露 流程处理，先通知相关负责人再对外公开。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！