本申请涉及一种基于IAST的安全检测方法、装置、电子装置及存储介质,方法包括:当对计算机程序进行功能测试时,获取功能测试的第一测试流量,当检测到计算机程序发生改动时,控制IAST设备调用第一测试流量对改动后的计算机程序进行安全测试。本申请提供的安全测试方法,在检测到功能测试人员对计算机程序进行功能测试时,自动获取并复制一份功能测试的流量。在检测到计算机程序改动之后,自动调取功能测试流量对改动后的计算机程序进行安全测试。如此则无需程序修改人员多次跟安全测试人员沟通通知安全测试人员进再次安全测试,提高了安全测试的效率。
【技术实现步骤摘要】
基于IAST的安全测试方法、装置、电子装置及存储介质
本专利技术属于计算机程序安全测试
,尤其涉及一种基于IAST的安全测试方法、装置、电子装置及存储介质。
技术介绍
相对于动态应用安全测试(DynamicApplicationSecurityTesting,DAST)以及静态应用安全测试(StaticApplicationSecurityTesting,SAST),交互式应用安全测试(InteractiveApplicationSecurityTesting,IAST)具有其明确的优势,IAST的准确率更高,且误报率低,且检测出漏洞信息详细度高。近年来其使用频率也越来越高。然而,在测试人员对程序进行测试的过程中常会出现一些漏洞时,以及在程序功能优化后都需要对程序进行改动,改动后的程序需要再次进行安全测试。目前每次改动后都需要程序人员通知安全测试人员进行安全测试,效率非常低下。
技术实现思路
本申请提供一种基于IAST的安全测试方法、装置、电子装置及存储介质,用于解决目前采用ISAT对计算机程序进行安全测试时,修改后的计算机程序需要再次通知安全测试人员进行安全测试,效率低下的技术问题。本申请第一方面提供一种基于IAST的安全测试方法,方法包括:当对计算机程序进行功能测试时,获取功能测试的第一测试流量;当检测到所述计算机程序发生改动时,控制IAST设备调用所述第一测试流量对改动后的计算机程序进行安全测试。本申请第二方面提供一种基于IAST的安全测试装置,装置包括:获取模块,用于在对计算机程序进行功能测试时,获取功能测试的第一测试流量;测试模块,用于当检测到所述计算机程序发生改动时,控制IAST设备调用所述第一测试流量对改动后的计算机程序进行安全测试。本申请第三方面提供一种电子装置,包括存储器、处理器以及存储在所述存储器上可以被所述处理器执行的计算机程序,所述处理器执行所述计算机程序时,实现第一方面提供的安全测试方法中的步骤。本申请第四方面提供一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,实现第一方面提供的安全测试方法中的步骤。从上述本申请实施例可知,本申请提供的基于IAST的安全测试方法,包括:在对计算机程序进行功能测试时,获取功能测试的第一测试流量,当检测到计算机程序发生改动时,控制IAST设备调用第一测试流量对改动后的计算机程序进行安全测试。本申请提供的安全测试方法,在检测到功能测试人员对计算机程序进行功能测试时,自动获取复制一份功能测试的流量。在检测到计算机程序改动之后,自动调取功能测试流量对改动后的计算机程序进行安全测试。如此则无需功能测试人员多次跟安全测试人员沟通通知安全测试人员进再次安全测试,提高了安全测试的效率。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本申请实施例提供的基于IAST的安全测试方法的流程示意图;图2为本申请实施例提供的基于IAST的安全测试方法的另一流程示意图;图3为本申请实施例提供的基于IAST的安全测试装置的结构示意图;图4为本申请实施例提供的基于IAST的安全测试装置的另一结构示意图;图5为一种电子装置的结构示意图。具体实施方式为使得本申请的目的、特征、优点能够更加的明显和易懂,下面将结合本专利技术实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而非全部实施例。基于本申请中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。如图1所示,为本申请实施例提供的基于IAST的安全测试方法的流程示意图,该方法包括如下步骤:步骤101,当对计算机程序进行功能测试时,获取功能测试的第一测试流量。可以理解的是,计算机程序代码在编写完成之后,需要对其进行功能测试以验证编写的计算机程序代码是否能够实现预期的功能。而且,互联网时代,计算机程序的安全问题日渐突出,对计算机程序的安全测试也显得尤为重要。在本申请实施例中,在检测到功能测试人员对计算机程序进行功能测试的时候,主动对对计算机程序进行功能测试时采用的测试流量进行获取。此处功能测试的流量记为第一测试流量。可以理解的是,计算机程序都在后台执行,在进行功能测试的时候,需要对后台的计算机程序进行调用,那就需要调用请求数据。第一测试流量可以包含这些调用请求数据。获取到第一测试流量后,可以复制一份并保存以备后续调用。步骤102,当检测到计算机程序发生改动时,控制IAST设备调用第一测试流量对改动后的计算机程序进行安全测试。一般情况下,部署IAST设备后,功能测试人员在进行功能测试时,功能测试的请求流量会触发IAST设备进行安全测试。无论在功能测试还是在安全测试时,都会存在测试不合格的情况,例如功能测试时计算机程序的功能达不到预期的功能,或者在安全测试时检测出程序中存在漏洞。此时就需要程序编写人员对计算机程序代码进行修改以解决上述问题。另外,当计算机程序的版本升级,需要进行功能优化时,也需要程序编写人员对计算机程序进行修改。修改后,为了避免改动后的计算机程序仍存在安全漏洞,需要IAST设备再次对改动后的计算机程序进行安全检测。在本申请实施例中,当检测到上述计算机程序发生了改动后,自动控制IAST设备调用步骤101中获取到的第一测试流量,并利用第一测试流量对改动后的计算机程序再次进行安全测试。根据上述描述可知,本申请提供的基于IAST的安全测试方法,方法包括:当对计算机程序进行功能测试时,获取功能测试的第一测试流量;当检测到计算机程序发生改动时,控制IAST设备调用第一测试流量对改动后的计算机程序进行安全测试。该安全测试方法在功能测试人员对计算机程序进行功能测试时,自动获取功能测试使用的第一测试流量。并在检测到计算机程序发生改动时,控制IAST设备调用获取的第一测试流量对改动后的计算机程序进行安全测试。如此,在计算机程序改动后,IAST设备会自动调用第一测试流量对改动后的计算机程序进行再次安全检测,无需程序修改人员与安全测试人员频繁沟通,提高了安全测试的效率。进一步地,如图2所示,为本申请实施例提供的基于IAST的安全测试方法的另一流程示意图,方法包括:步骤201,当对计算机程序进行功能测试时,获取功能测试的第一测试流量;可以理解的是,在本申请实施例中,步骤201的内容与图1提供的实施例中步骤101记载的内容相同,此处不再予以赘述。步骤202,对第一测试流量进行防重放规避处理,得到第二测试流量。在部分安全要求比较高的计算机程序中,会设置防重放机制,用于防止恶意攻击者篡改流量内容,本文档来自技高网...
【技术保护点】
1.一种基于IAST的安全测试方法,其特征在于,所述方法包括:/n当对计算机程序进行功能测试时,获取功能测试的第一测试流量;/n当检测到所述计算机程序发生改动时,控制IAST设备调用所述第一测试流量对改动后的计算机程序进行安全测试。/n
【技术特征摘要】
1.一种基于IAST的安全测试方法,其特征在于,所述方法包括:
当对计算机程序进行功能测试时,获取功能测试的第一测试流量;
当检测到所述计算机程序发生改动时,控制IAST设备调用所述第一测试流量对改动后的计算机程序进行安全测试。
2.根据权利要求1所述的安全测试方法,其特征在于,在所述获取功能测试的第一测试流量之后,以及在当检测到计算机程序发生改动时,控制IAST设备调用所述第一测试流量对变动后的计算机程序进行安全测试之前,还包括:
对所述第一测试流量进行防重放规避处理,得到第二测试流量;
则所述调用所述第一测试流量对改动后的计算机程序进行安全测试,包括:
调用所述第二测试流量对变动后的计算机程序进行安全测试。
3.根据权利要求2所述的安全测试方法,其特征在于,所述对所述第一测试流量进行防重放规避处理,得到第二测试流量,包括:
确定所述第一测试流量需要更改的数据;
将所述第一测试流量中需要更改的数据进行更改,得到第二测试流量。
4.根据权利要求3所述的安全测试方法,其特征在于,所述确定所述第一测试流量需要更改的数据,包括:
确定所述计算机程序的防重放机制;
根据所述防重放机制确定所述第一测试流量需要更改的数据。
5.根据权利要求1所述的安全测试方法,其特征在于,所述控制IAST设备调用所述第一测试流量对改动后的计算机程序进...
【专利技术属性】
技术研发人员:潘志祥,万振华,王颉,董燕,李华,
申请(专利权)人:深圳开源互联网安全技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。