一、
1、必选参数为空
2、所有正常参数校验,不符合的各种异常组合
3、token错误、缺失、越权(A账号的token用于B账号)
4、敏感信息返回,URL及错误信息中禁止暴露token
5、接口必须是https,验证http访问是否失败
二、
XSS 测试
<script>alter(1)</script> %3Cscript%3Ealter(1)%3C/script%3E
命令注入
;id>hack;# ;id%3Ehack;#
SQL注入
'or'1'=1' '%20or%20'1'=%20'1
日志注入,并检查日志
%0d%0a