【技术实现步骤摘要】
本申请涉及信息安全,特别是涉及一种应用安全测试方法、装置、计算机设备、存储介质和计算机程序产品。
技术介绍
1、随着信息安全技术的发展,出现了应用安全测试技术。
2、目前的安全测试主要分为手工测试和扫描测试两大类,手工测试为用户对报文进行拦截和篡改,根据响应报文或页面展示内容,人工判断是否存在安全风险;扫描测试为通过扫描测试工具预设的攻击向量进行测试,再通过对响应报文进行分析,判断应用是否存在安全风险。
3、然而,目前的手工测试方法需要耗费的人力资源较多,扫描测试方法中预设的攻击向量为扫描测试工具内置的攻击向量,由于扫描测试工具内置的攻击向量需要针对各种应用进行测试,会产生大量待测应用不需要进行修改的问题,导致安全测试的误报率较高。
技术实现思路
1、基于此,有必要针对上述技术问题,提供一种能够自动进行应用的安全测试并且准确度更高的应用安全测试方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
2、第一方面,本申请提供了一种应用安全测试方法。所述方法包括:
3、获取目标应用的应用信息,所述应用信息包括应用名称和互联网标准资源地址;
4、针对所述目标应用的各前端页面,分别获取各所述前端页面包含的页面控件信息;
5、基于所述目标应用的应用名称、所述目标应用的互联网标准资源地址、所述目标应用中的各所述前端页面的页面控件信息,从测试项目库包括的各测试项目中,确定所述目标应用中各所述前端页面的目标待测项目;p>
6、针对所述目标应用中的每一所述前端页面,根据所述前端页面的目标待测项目对应的测试策略,对所述前端页面进行测试处理,得到所述前端页面对应的测试结果,并根据各所述前端页面对应的测试结果,构建所述目标应用的安全测试结果。
7、在其中一个实施例中,所述基于所述目标应用的应用名称、所述目标应用的互联网标准资源地址、所述目标应用中的各所述前端页面的页面控件信息,从测试项目库包括的各测试项目中,确定所述目标应用中各所述前端页面的目标待测项目,包括:
8、基于所述目标应用的应用名称和所述目标应用的互联网标准资源地址,在历史测试记录中查找所述目标应用的历史测试信息;
9、在存在所述目标应用的历史测试信息的情况下,针对任一所述前端页面,根据所述历史测试信息,从测试项目库中,确定所述前端页面对应的目标测试项目。
10、在其中一个实施例中,所述方法还包括:
11、在不存在所述目标应用的历史测试信息的情况下,针对任一所述前端页面,根据所述前端页面的页面控件信息,从历史测试记录中查找与所述前端页面相匹配的目标前端页面;
12、在所述历史测试记录中查找所述目标前端页面对应的历史测试信息,并根据所述前端页面对应的历史测试信息,从测试项目库中,确定所述前端页面对应的目标测试项目。
13、在其中一个实施例中,所述根据所述历史测试信息,从测试项目库中,确定所述前端页面对应的目标测试项目,包括:
14、从所述历史测试信息中,查找对应目标测试状态的测试项目标识,所述目标测试状态用于表征所述测试项目标识对应的测试项目测试失败;
15、根据所述测试项目标识,从测试项目库中确定所述前端页面对应的目标测试项目。
16、在其中一个实施例中,所述页面控件信息包括页面控件类别,所述根据所述前端页面的页面控件,从历史测试记录中查找与所述前端页面相匹配的目标前端页面,包括:
17、从所述历史测试记录中,获取各已完成测试的前端页面中包括的页面控件类别;
18、根据所述目标应用中的各所述前端页面的页面控件类别和各所述已完成测试的前端页面中包括的页面控件类别,从各所述已完成测试的前端页面中,确定与所述前端页面相匹配的目标前端页面。
19、在其中一个实施例中,所述根据所述前端页面的目标待测项目对应的测试策略,对所述前端页面进行测试处理,得到所述前端页面对应的测试结果,包括:
20、针对所述前端页面,执行所述前端页面针对各所述目标待测项目对应的请求操作,获取所述前端页面针对各所述目标待测项目对应的成功请求报文和成功响应报文;
21、根据各所述目标待测项目对应的测试策略、及所述前端页面针对各所述目标待测项目的成功请求报文,进行测试处理,得到各所述目标待测项目对应的测试响应报文;
22、针对任一所述目标待测项目,将所述目标待测项目对应的测试响应报文的数据长度和所述目标待测项目的成功响应报文的数据长度进行比对,得到比对结果,并根据所述比对结果,确定所述前端页面的测试结果。
23、在其中一个实施例中,所述方法还包括:
24、在所述历史测试记录中不存在与所述前端页面相匹配的目标前端页面的情况下,将所述测试项目库中的全部待测项目,作为所述目标应用中的各所述前端页面的目标待测项目。
25、第二方面,本申请还提供了一种应用安全测试装置。所述装置包括:
26、第一获取模块,用于获取目标应用的应用信息,所述应用信息包括应用名称和互联网标准资源地址;
27、第二获取模块,用于针对所述目标应用的各前端页面,分别获取各所述前端页面包含的页面控件信息;
28、第一确定模块,用于基于所述目标应用的应用名称、所述目标应用的互联网标准资源地址、所述目标应用中的各所述前端页面的页面控件信息,从测试项目库包括的各测试项目中,确定所述目标应用中各所述前端页面的目标待测项目;
29、测试模块,用于针对所述目标应用中的每一所述前端页面,根据所述前端页面的目标待测项目对应的测试策略,对所述前端页面进行测试处理,得到所述前端页面对应的测试结果,并根据各所述前端页面对应的测试结果,构建所述目标应用的安全测试结果。
30、在其中一个实施例中,所述第一确定模块具体用于:
31、基于所述目标应用的应用名称和所述目标应用的互联网标准资源地址,在历史测试记录中查找所述目标应用的历史测试信息;
32、在存在所述目标应用的历史测试信息的情况下,针对任一所述前端页面,根据所述历史测试信息,从测试项目库中,确定所述前端页面对应的目标测试项目。
33、在其中一个实施例中,所述第一确定模块具体用于:
34、在不存在所述目标应用的历史测试信息的情况下,针对任一所述前端页面,根据所述前端页面的页面控件信息,从历史测试记录中查找与所述前端页面相匹配的目标前端页面;
35、在所述历史测试记录中查找所述目标前端页面对应的历史测试信息,并根据所述前端页面对应的历史测试信息,从测试项目库中,确定所述前端页面对应的目标测试项目。
36、在其中一个实施例中,所述第一确定模块具体用于:
37、从所述历史测试信息中,查找对应目标测试状态的测试项目标识,所述目标测试状态用于表征所述测试项目标识对应的测试项目测试失败;<本文档来自技高网...
【技术保护点】
1.一种应用安全测试方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述目标应用的应用名称、所述目标应用的互联网标准资源地址、所述目标应用中的各所述前端页面的页面控件信息,从测试项目库包括的各测试项目中,确定所述目标应用中各所述前端页面的目标待测项目,包括:
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
4.根据权利要求2所述的方法,其特征在于,所述根据所述历史测试信息,从测试项目库中,确定所述前端页面对应的目标测试项目,包括:
5.根据权利要求3所述的方法,其特征在于,所述页面控件信息包括页面控件类别,所述根据所述前端页面的页面控件,从历史测试记录中查找与所述前端页面相匹配的目标前端页面,包括:
6.根据权利要求1所述的方法,其特征在于,所述根据所述前端页面的目标待测项目对应的测试策略,对所述前端页面进行测试处理,得到所述前端页面对应的测试结果,包括:
7.根据权利要求3所述的方法,其特征在于,所述方法还包括:
8.一种应用安全测试装置,其特征在
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
11.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
...【技术特征摘要】
1.一种应用安全测试方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述目标应用的应用名称、所述目标应用的互联网标准资源地址、所述目标应用中的各所述前端页面的页面控件信息,从测试项目库包括的各测试项目中,确定所述目标应用中各所述前端页面的目标待测项目,包括:
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
4.根据权利要求2所述的方法,其特征在于,所述根据所述历史测试信息,从测试项目库中,确定所述前端页面对应的目标测试项目,包括:
5.根据权利要求3所述的方法,其特征在于,所述页面控件信息包括页面控件类别,所述根据所述前端页面的页面控件,从历史测试记录中查找与所述前端页面相匹配的目标前端页面,包括:
6.根据权利要求1...
【专利技术属性】
技术研发人员:张卉,杨洋,翁丛,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。