NV
Это же моё задание прямо
❤️
Size: a a a
2019 July 25
АГ
ща попробую спс
T
# если так не срабатывает, то писать в окружение, через JSON.stringify
И в моменте разбора переменой стоит написать JSON.parse
NK
Vsem privet
NK
esli tak ya delayu, on mne obratna dayut ochered
NK
a esli ya delayu eta s Query Prams eta ne rabotaet
NV
А в чем вопрос? 😀
АК
Всем привет, как поводить тестирование безопасности Api?
А
ну например, если у вас урлы для внутреннего пользования, какой то сервис, что они не доступны из вне
А
а так очень обширное понятие
T
Всем привет, как поводить тестирование безопасности Api?
там действительно довольно обширная тема и скорее всего больше информации будет внутри самого проекта и его описании,
но из того, на что как минимум стоит взяглянуть, это:
- недоступность к конкретным методам без соответствующих прав пользователя
- разделённость сущностей у пользователей (пользователь А не должен иметь прав на сущность пользователя Б, если не сказано иное)
- корректность настроек работы токенов (умирают после N секунд, генерируются уникальные, и т.д.)
- требуемые наборы заголовков (например Content-Type application/x-www-form-urlencoded)
но из того, на что как минимум стоит взяглянуть, это:
- недоступность к конкретным методам без соответствующих прав пользователя
- разделённость сущностей у пользователей (пользователь А не должен иметь прав на сущность пользователя Б, если не сказано иное)
- корректность настроек работы токенов (умирают после N секунд, генерируются уникальные, и т.д.)
- требуемые наборы заголовков (например Content-Type application/x-www-form-urlencoded)
NV
Ну и ковырять owasp top 10.
https://blog.sucuri.net/2019/01/owasp-top-10-security-risks-part-v.html
https://blog.sucuri.net/2019/01/owasp-top-10-security-risks-part-v.html
NK
Привет
2019 July 27
BR
там действительно довольно обширная тема и скорее всего больше информации будет внутри самого проекта и его описании,
но из того, на что как минимум стоит взяглянуть, это:
- недоступность к конкретным методам без соответствующих прав пользователя
- разделённость сущностей у пользователей (пользователь А не должен иметь прав на сущность пользователя Б, если не сказано иное)
- корректность настроек работы токенов (умирают после N секунд, генерируются уникальные, и т.д.)
- требуемые наборы заголовков (например Content-Type application/x-www-form-urlencoded)
но из того, на что как минимум стоит взяглянуть, это:
- недоступность к конкретным методам без соответствующих прав пользователя
- разделённость сущностей у пользователей (пользователь А не должен иметь прав на сущность пользователя Б, если не сказано иное)
- корректность настроек работы токенов (умирают после N секунд, генерируются уникальные, и т.д.)
- требуемые наборы заголовков (например Content-Type application/x-www-form-urlencoded)
Ну и еще вот такая штука есть (Better API Penetration Testing with Postman)
https://blog.secureideas.com/2019/06/better-api-penetration-testing-with-postman-part-4.html
https://blog.secureideas.com/2019/06/better-api-penetration-testing-with-postman-part-4.html
АГ
ку всем) такой вопрос.. никак не получается сделать в pre-req дату завтрошним числом... подскажите что я делаю не так)))
АГ
var dismiss = require('moment');
dismiss = moment().add(1,'day').toISOString();
dismiss = moment().add(1,'day').toISOString();
АГ
я почти не знаю синтаксиса js )) сильно не ругайтесь))
АГ
а во))) получилось))
var moment = require('moment');
dismiss = moment().add(1,'day').toISOString();
pm.globals.set("dismiss", moment(dismiss).format("YYYY-MM-DD"));
var moment = require('moment');
dismiss = moment().add(1,'day').toISOString();
pm.globals.set("dismiss", moment(dismiss).format("YYYY-MM-DD"));
PE
Сам спросил и сам ответил)))
EP
Сам спросил и сам ответил)))
Эффект утенка