【技术实现步骤摘要】
基于http请求的安全测试方法、装置、设备及介质
[0001]本申请涉及计算机测试
,尤其涉及一种基于http请求的安全测试方法、装置、设备及介质。
技术介绍
[0002]随着移动互联网的快速发展,推动了网站的爆发式增长,同时因安全漏洞引起的安全问题也日益增长,系统安全面临的挑战日益严峻,时时刻刻可能都遭受各种攻击的威胁,任何一个简单的漏洞、疏忽都可能造成整个系统受到攻击,造成巨大损失。
[0003]然而,专利技术人发现,当前对待测系统的安全测试通常采用手动测试,不仅效率低下,而且对待测系统中的测试用例分配严重依赖于测试人员的经验,导致待测系统的测试效果良莠不齐。
技术实现思路
[0004]本申请提供一种基于http请求的安全测试方法、装置、设备及介质,用以解决当前对待测系统的安全测试通常采用手动测试,不仅效率低下,而且对待测系统中的测试用例分配严重依赖于测试人员的经验,导致待测系统的测试效果良莠不齐的问题。
[0005]第一方面,本申请提供一种基于http请求的安全测试方法,包括:
[0006]获取待测系统中的至少一个http请求,其中,所述http请求指从客户端到所述待测系统的请求消息;
[0007]根据一个http请求的安全参数定义所述http请求的请求用例数量,将相应于所述请求用例数量的安全用例与所述http请求关联,其中,所述安全参数表征了所述http请求在待测系统中的安全程度;
[0008]将一个安全用例载入与所述安全用例关联的http请求中形...
【技术保护点】
【技术特征摘要】
1.一种基于http请求的安全测试方法,其特征在于,包括:获取待测系统中的至少一个超文本传输协议http请求,其中,所述http请求指从客户端到所述待测系统的请求消息;根据一个http请求的安全参数定义所述http请求的请求用例数量,将相应于所述请求用例数量的安全用例与所述http请求关联,其中,所述安全参数表征了所述http请求在待测系统中的安全程度;将一个安全用例载入与所述安全用例关联的http请求中形成一个安全脚本,在所述待测系统中运行所述安全脚本,用以对所述待测系统进行安全测试并得到一个相应于所述安全用例的测试结果;汇总所有安全用例的测试结果得到所述待测系统的测试报告。2.根据权利要求1所述的安全测试方法,其特征在于,所述根据一个http请求的安全参数定义所述http请求的请求用例数量,将相应于所述请求用例数量的安全用例与所述http请求关联,包括:通过预置的处理规则定义所述http请求的安全参数;计算所述待测系统中所有http请求的安全参数的参数总值,及分别计算各所述http请求的安全参数在所述参数总值中的占比,以分别作为各所述http请求的权重参数;获取用于对待测系统进行安全测试的至少一个安全用例,将获取到的安全用例整合成用例集合;根据一个http请求的权重参数及所述安全用例的数量,生成所述http请求的请求用例数量,及从所述用例集合中获取相应于所述请求用例数量的安全用例与所述http请求关联。3.根据权利要求2所述的安全测试方法,其特征在于,所述通过预置的处理规则定义所述http请求的安全参数,包括:提取所述http请求的业务场景,判断所述业务场景是否属于预置的场景黑名单;若是,则对所述http请求附以内容为高阶场景值的场景参数;若否,则对所述http请求附以内容为低阶场景值的场景参数;提取所述http请求的请求方法,从预置的方法映射表中获取相应于所述请求方法的请求值,对所述http请求附以内容为所述请求值的请求参数;提取http请求的请求报文头,判断所述请求报文头中是否具有预置的请求报文黑名单中的认证信息;若是,则计算所述请求报文头中出现的认证信息的数量,并通过预置的报文映射表获取相应于所述数量的请求报文值,对所述http请求附以内容为请求报文值的请求报文参数;若否,则对所述http请求附以内容为零值的请求报文参数;提取http请求中的响应报文头,判断所述响应报文头中是否具有预置的响应报文黑名单中的字段信息;若是,则计算所述响应报文头中出现的字段信息的数量,并通过预置的响应报文映射表获取相应于所述数量的响应报文值,对所述http请求附以内容为响应报文值的响应报文参数;若否,则对所述http请求附以内容为零值的响应报文参数;将所述http请求的场景参数、请求参数、请求报文参数和响应报文参数录入预置的安全模型,运算所述安全模型得到所述http请求的安全参数。4.根据权利要求3所述的安全测试方法,其特征在于,所述安全模型的目标函数如下所
示:R=M*a+N*b...
【专利技术属性】
技术研发人员:宋嘉艺,王欣,苏畅,徐伟,
申请(专利权)人:中国农业银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。