接口测试

接口测试就是测试系统组件间的接口，检测外部系统与系统之间以及内部各个子系统之间的交互点，重点是检查数据的交换、传递和控制管理过程以及系统间的相互逻辑依赖关系等。对于Web开发来说，接口测试主要是测试对外暴露的接口，测试不同情况下的入参对应的出参信息，从而判断接口是否符合或满足相应的功能性和安全性要求。开发人员在完成接口的功能之后需要进行自测，自测完成后，测试人员再对接口进行自动化测试，包括白盒测试、黑盒测试和压力测试等。

【编者按】Node.js是一个用于创建Web服务的平台，以创新设计和高效著称。《Node.js项目实践：构建可扩展的Web应用》通过专业的讲解方式，帮助开发者逐步学习如何使用专业的开发工具构建一系列基于Node.js的Web应用。下面为该书的节选内容。

使用Express.js和Hapi构建Node.js REST API服务

在当下的Web开发中，瘦客户端和瘦服务端的架构变得越来越流行，瘦客户端一般基于Backbone.js、Anglers JS、Ember.js等框架构建，而瘦服务端通常代表着REST风格的Web API服务。这种模式现在越来越流行，已经有Parse.com等不少网站选择尝试把后端建成服务的形式。它有如下一些优点：

伴随SOHO无线路由器的日益普及，针对它们的攻击也变得越来越普遍，然而更令人防不胜防的是无线路由器自身频频曝露出的安全漏洞。近日，作为路由器重要的芯片提供商Realtek（瑞昱）就被曝出存在SDK（软件开发工具包）方面的重要漏洞，需要引起相关厂商和用户的重视。

目前这个编号为CVE-2014-8361的Realtek SDK远程代码执行漏洞已被安全研究人员公开，并有安全项目组将该漏洞在通用安全漏洞评分系统（CVSS）中被评为最高级别的10分。

从披露的公告中了解到，瑞昱miniigd SOAP服务器上存在一个严重缺陷。由于未能在执行系统调用前清理用户数据，导致在处理NewInternalClient请求时出现问题。

今天分享一份常见的接口测试面试题答案。

本文最初发表于 RedHat 博客网站，经原作者 Bilgin Ibryam 授权由 InfoQ 中文站翻译分享。

作为 Red Hat 咨询架构师，我有幸参与了大量客户项目。虽然每个客户都面临自己特有的挑战，但是我发现其中有一些共同点。大多数项目都想知道如何协调对多个记录系统的写入。要回答这个问题，一般会涉及长篇累牍的解释，包括双重写入（dual write）、分布式事务、现代化的替代方案以及每种方式可能出现的故障情况和缺点。这样做通常会让客户意识到，将单体应用拆分为微服务架构是一个漫长和复杂的过程，而且通常都需要权衡。

HTTP报文结构：

HTTP报文由三部分组成：状态行

SOAP是什么意思？

SOAP是一种协议，它代表

SOAP（Simple Object Access Protocol 简单对象访问协议），用于在Web Service中把远程调用和返回封装成机器可读的格式化数据，事实上SOAP使用XML数据格式，以描述调用的远程过程、参数、返回值和出错信息等等。其实SOAP最早是针对RPC的一种解决方案，很轻量，同时作为应用协议可以基于多种传输协议来传递消息（Http,SMTP等）。但是随着SOAP作为WebService的广泛应用，不断地增加附加的内容，使得现在开发人员觉得SOAP很重，使用门槛很高，而且随着需求的增长，又不得增加协议以支持安全性，这使SOAP变得异常庞大，背离了简单的初衷。在SOAP后续的发展过程中，WS-*一系列协议的制定，增加了SOAP的成熟度，也给SOAP增加了负担。SOAP 常常被称作“web services”，这是一个误称。SOAP 和 web 基本上说不上话。REST 提供的才是真正的基于 URL 和 HTTP 的 “web services”。

CentOS 7

MySQL 5.7.41

Apache 2.4.6

PHP 7.2.34

作者 Smity 合天智汇

在介绍命令注入之前，有一点需要注意：命令注入与远程代码执行不同。他们的区别在于，远程代码执行实际上是调用服务器网站代码进行执行，而命令注入则是调用操作系统命令进行执行。

作为CTF最基础的操作，命令执行的学习主要是为了以后进一步使用webshell打下基础

同样的，今天还会介绍如何使用各种命令执行绕过的方式

首先我们先来看代码执行

动态调用：

这个地方是ctf曾经的一个考点，也是我在强网杯出过的一道题目，叫"高明的黑客"，里面使用的就是混淆代码+动态函数调用，这种写法实际上在红蓝攻防中很经常用到，就是一堆函数进行混淆，然后在里面插入一个动态函数进行真正的代码执行或者是命令执行。