基于区块链的越权访问漏洞测试方法及装置制造方法及图纸

本说明书涉及区块链技术领域，具体地公开了一种基于区块链的越权访问漏洞测试方法及装置，其中，该方法包括：接收客户端发送的越权访问漏洞测试请求；漏洞测试请求中携带有目标标识；响应于越权访问漏洞测试请求，遍历区块链网络中存储的目标标识对应的测试数据表；测试数据表中包括目标标识对应的目标应用程序中包含的多个模块中各模块的越权测试数据；区块链网络包括多个区块链节点，多个区块链节点与多个模块一一对应，各区块链节点用于维护测试数据表中对应模块的越权测试数据；基于测试数据表中各模块的越权测试数据对各模块进行越权访问漏洞测试。上述方案可以实现自动化越权访问漏洞测试、提高测试效率以及节约测试成本。本。本。

【技术实现步骤摘要】
基于区块链的越权访问漏洞测试方法及装置


[0001]本说明书涉及区块链
，特别涉及一种基于区块链的越权访问漏洞测试方法及装置。

技术介绍

[0002]越权访问漏洞一直是手机银行产品在做安全测试时的重点关注问题，但是由于越权访问需要人工分析结果，所以在测试时，一直是人手进行测试，无法做到自动化测试。通过人工手动进行测试，效率较低。而且，人工手动进行越权访问漏洞测试，对测试人员的安全技术水平要求较高，需要经过培训才能完成测试，测试成本高。
[0003]针对上述问题，目前尚未提出有效的解决方案。

技术实现思路

[0004]本说明书实施例提供了一种基于区块链的越权访问漏洞测试方法及装置，以解决现有技术中越权访问漏洞测试效率低的问题。
[0005]本说明书实施例提供了一种基于区块链的越权访问漏洞测试方法，应用于漏洞测试系统，包括：接收客户端发送的越权访问漏洞测试请求；所述越权访问漏洞测试请求中携带有目标标识；响应于所述越权访问漏洞测试请求，遍历区块链网络中存储的所述目标标识对应的测试数据表；所述测试数据表中包括所述目标标识对应的目标应用程序中包含的多个模块中各模块的越权测试数据；所述区块链网络包括多个区块链节点，所述多个区块链节点与所述多个模块一一对应，所述各区块链节点用于维护所述测试数据表中对应模块的越权测试数据；基于所述测试数据表中各模块的越权测试数据对所述各模块进行越权访问漏洞测试。
[0006]在一个实施例中，所述测试数据表中包括所述各模块对应的第二账号操作请求报文以及第二账号操作返回报文；相应的，基于所述测试数据表中各模块的越权测试数据对所述各模块进行越权访问漏洞测试，包括：利用所述目标应用程序中的各模块发送对应的第二账号操作请求报文，得到所述各模块对应的测试返回报文；将所述各模块对应的测试返回报文与所述各模块对应的第二账号操作返回报文进行对比，以确定所述各模块是否存在未授权访问漏洞。
[0007]在一个实施例中，所述测试数据表中包括所述各模块对应的第一账号登录请求报文、第二账号操作请求报文以及第二账号操作返回报文；所述第一账号的账号权限与所述第二账号的账号权限相同；相应的，基于所述测试数据表中各模块的越权测试数据对所述各模块进行越权访问漏洞测试，包括：利用所述目标应用程序中的各模块发送对应的第一账号登录请求报文进行登录；利用所述各模块发送对应的第二账号操作请求报文，得到所述各模块对应的测试返回报文；将所述各模块对应的测试返回报文与所述各模块对应的第二账号操作返回报文进行对比，以确定所述各模块是否存在平行越权访问漏洞。
[0008]在一个实施例中，所述测试数据表中包括所述各模块对应的第一账号登录请求报
文、第二账号操作请求报文以及第二账号操作返回报文；所述第一账号的账号权限低于所述第二账号的账号权限；相应的，基于所述测试数据表中各模块的越权测试数据对所述各模块进行越权访问漏洞测试，包括：利用所述目标应用程序中的各模块发送对应的第一账号登录请求报文进行登录；利用所述各模块发送对应的第二账号操作请求报文，得到所述各模块对应的测试返回报文；将所述各模块对应的测试返回报文与所述各模块对应的第二账号操作返回报文进行对比，以确定所述各模块是否存在垂直越权访问漏洞。
[0009]在一个实施例中，所述测试数据表中包括所述各模块对应的第一账号登录请求报文、第二账号操作请求报文以及第二账号操作返回报文；相应的，基于所述测试数据表中各模块的越权测试数据对所述各模块进行越权访问漏洞测试，包括：利用所述目标应用程序中的各模块发送对应的第一账号登录请求报文和/或第二账号操作请求报文，得到所述各模块对应的测试返回报文；将所述各模块对应的测试返回报文与所述各模块对应的第二账号操作返回报文进行对比，得到所述各模块对应的越权访问漏洞测试结果；根据所述各模块对应的越权访问漏洞测试结果以及所述各模块对应的测试返回报文，生成所述目标应用程序的越权访问漏洞测试报告。
[0010]在一个实施例中，在生成所述目标应用程序的越权访问漏洞测试报告之后，还包括：对所述越权访问漏洞测试报告进行验证；将所述目标应用程序的验证后的越权访问漏洞测试报告发送至所述区块链网络进行分布式存储。
[0011]在一个实施例中，该方法还包括：在所述目标应用程序的目标模块对应的报文发生变更的情况下，向所述区块链网络发送测试数据表更新请求，所述更新请求中携带有所述目标模块对应的变更后的报文数据，使得所述目标模块对应的区块链节点根据所述变更后的报文数据更新所述测试数据表中所述目标模块的越权测试数据。
[0012]本说明书实施例还提供了一种基于区块链的越权访问漏洞测试装置，应用于漏洞测试系统，包括：接收模块，用于接收客户端发送的越权访问漏洞测试请求；所述越权访问漏洞测试请求中携带有目标标识；遍历模块，用于响应于所述越权访问漏洞测试请求，遍历区块链网络中存储的所述目标标识对应的测试数据表；所述测试数据表中包括所述目标标识对应的目标应用程序中包含的多个模块中各模块的越权测试数据；所述区块链网络包括多个区块链节点，所述多个区块链节点与所述多个模块一一对应，所述各区块链节点用于维护所述测试数据表中对应模块的越权测试数据；测试模块，用于基于所述测试数据表中各模块的越权测试数据对所述各模块进行越权访问漏洞测试。
[0013]本说明书实施例还提供一种计算机设备，包括处理器以及用于存储处理器可执行指令的存储器，所述处理器执行所述指令时实现上述任意实施例中所述的基于区块链的越权访问漏洞测试方法的步骤。
[0014]本说明书实施例还提供一种计算机可读存储介质，其上存储有计算机指令，所述指令被执行时实现上述任意实施例中所述的基于区块链的越权访问漏洞测试方法的步骤。
[0015]本说明书实施例还提供一种计算机程序产品，包括计算机程序/指令，所述计算机程序/指令被处理器执行时实现上述任意实施例中所述的基于区块链的越权访问漏洞测试方法的步骤。
[0016]在本说明书实施例中，提供了一种基于区块链的越权访问漏洞测试方法，可以将所述测试数据表发送至区块链网络进行分布式存储，所述区块链网络中可以包括多个区块
链节点，所述多个区块链节点与目标应用程序中的多个模块一一对应，所述各区块链节点用于维护所述测试数据表中对应模块的越权测试数据，漏洞测试系统可以响应于客户端发送的越权访问漏洞测试请求，遍历所述区块链网络中存储的测试数据表，以基于所述测试数据表中各模块的越权测试数据对所述各模块进行越权访问漏洞测试，从而实现自动化越权访问测试，提高测试效率，节约测试成本。上述方案中，将测试数据表发送至区块链网络进行分布式存储，可以利用区块链对测试数据表进行共享，而且还可以防止测试数据表被恶意篡改，通过区块链网络中的多个区块链节点中各区块链节点来维护目标应用程序中的多个模块中各模块对应的越权测试数据，可实现各模块分布式维护数据，防止其它模块随意修改数据。可以通过遍历区块链网络中存储的测试数据表来获取各模块对应的越权测试数据，进而根据各模块对应本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于区块链的越权访问漏洞测试方法，其特征在于，应用于漏洞测试系统，包括：接收客户端发送的越权访问漏洞测试请求；所述越权访问漏洞测试请求中携带有目标标识；响应于所述越权访问漏洞测试请求，遍历区块链网络中存储的所述目标标识对应的测试数据表；所述测试数据表中包括所述目标标识对应的目标应用程序中包含的多个模块中各模块的越权测试数据；所述区块链网络包括多个区块链节点，所述多个区块链节点与所述多个模块一一对应，所述各区块链节点用于维护所述测试数据表中对应模块的越权测试数据；基于所述测试数据表中各模块的越权测试数据对所述各模块进行越权访问漏洞测试。2.根据权利要求1所述的越权访问漏洞测试方法，其特征在于，所述测试数据表中包括所述各模块对应的第二账号操作请求报文以及第二账号操作返回报文；相应的，基于所述测试数据表中各模块的越权测试数据对所述各模块进行越权访问漏洞测试，包括：利用所述目标应用程序中的各模块发送对应的第二账号操作请求报文，得到所述各模块对应的测试返回报文；将所述各模块对应的测试返回报文与所述各模块对应的第二账号操作返回报文进行对比，以确定所述各模块是否存在未授权访问漏洞。3.根据权利要求1所述的越权访问漏洞测试方法，其特征在于，所述测试数据表中包括所述各模块对应的第一账号登录请求报文、第二账号操作请求报文以及第二账号操作返回报文；所述第一账号的账号权限与所述第二账号的账号权限相同；相应的，基于所述测试数据表中各模块的越权测试数据对所述各模块进行越权访问漏洞测试，包括：利用所述目标应用程序中的各模块发送对应的第一账号登录请求报文进行登录；利用所述各模块发送对应的第二账号操作请求报文，得到所述各模块对应的测试返回报文；将所述各模块对应的测试返回报文与所述各模块对应的第二账号操作返回报文进行对比，以确定所述各模块是否存在平行越权访问漏洞。4.根据权利要求1所述的越权访问漏洞测试方法，其特征在于，所述测试数据表中包括所述各模块对应的第一账号登录请求报文、第二账号操作请求报文以及第二账号操作返回报文；所述第一账号的账号权限低于所述第二账号的账号权限；相应的，基于所述测试数据表中各模块的越权测试数据对所述各模块进行越权访问漏洞测试，包括：利用所述目标应用程序中的各模块发送对应的第一账号登录请求报文进行登录；利用所述各模块发送对应的第二账号操作请求报文，得到所述各模块对应的测试返回报文；将所述各模块对应的测试返回报文与所述各模块对应的第二账号操作返回报文进行对比，以确定所述各模块是否存在垂直越权访问漏洞。5.根据权利要求1所述的越权访问...

【专利技术属性】
技术研发人员：薛贝娜，
申请(专利权)人：中国银行股份有限公司，
类型：发明
国别省市：