【技术实现步骤摘要】
本申请涉及计算机,特别涉及一种软件接口的越权漏洞测试方法、装置和电子设备。
技术介绍
1、在软件开发过程中,软件接口存在越权漏洞是一个常见的问题,因此需要对软件接口进行越权漏洞测试,以保障用户在使用软件过程中的信息安全性。
2、相关技术中,软件测试人员可以通过以下方式进行越权漏洞测试:根据接口文档分析出存在潜在越权漏洞的接口;使用漏洞扫描工具拦截这些接口的请求;修改被拦截的请求的url或请求体中的参数,使用工具进行单个接口请求验证;根据接口对于修改后的请求的响应结果,判断被测试的接口是否存在越权漏洞。上述方法中,在人工分析接口的潜在越权漏洞时,在测试人员的主观经验不足的情况下,容易导致越权漏洞的遗漏或者误判。并且,由于需要对每个接口进行抓包、修改参数,且修复后又要进行新一轮验证,需要耗费大量的人力资源,测试效率较低。
3、因此,如何准确、高效地进行软件接口的越权漏洞测试,是亟待解决的技术问题。
技术实现思路
1、本申请实施例提供了一种软件接口的越权漏洞测试方法、装置和电子设备,用于准确、高效地进行软件接口的越权漏洞测试。
2、本申请实施例之一提供一种软件接口的越权漏洞测试方法,所述方法包括:响应于待测试软件接口与已建立的目标正则表达式匹配,根据所述待测试软件接口,生成与所述目标正则表达式关联的多个测试用例;其中,所述目标正则表达式用于表示存在越权漏洞的概率大于预设阈值的软件接口;利用所述多个测试用例,对所述待测试软件接口进行越权漏洞测试;根据越权
3、在一些实施例中,所述方法还包括:响应于接收到携带接口标识信息的所述待测试软件接口的越权漏洞测试请求,确定所述接口标识信息是否包含所述目标正则表达式中的关键词;在所述接口标识信息包含所述目标正则表达式中的关键词的情况下,确定所述待测试软件接口与所述目标正则表达式匹配。
4、在一些实施例中,利用以下方式建立所述目标正则表达式:将包含目标参数的软件接口,作为目标软件接口;其中,所述目标软件接口为存在越权漏洞的概率大于预设阈值的软件接口,所述目标参数为软件接口的接口标识信息中包含的、攻击者可以利用其对该软件接口进行攻击的参数;使用正则表达式表示所述目标参数,得到所述目标正则表达式。
5、在一些实施例中,所述根据所述待测试软件接口,生成与所述目标正则表达式关联的多个测试用例,包括:生成所述目标软件接口的访问请求;逐次对所述访问请求中使用目标正则表达式表示的目标参数的数值进行修改,生成多个测试用例。
6、在一些实施例中,所述利用所述多个测试用例,对所述待测试软件接口进行越权漏洞测试,包括:使用所述多个测试用例中的每一个测试用例,访问所述待测试软件接口,获取所述待测试软件接口针对所述每一个测试用例的测试访问结果,作为所述越权漏洞测试的结果;所述根据所述越权漏洞测试的结果,确定所述待测试软件接口是否存在越权漏洞,包括:响应于所述多个测试用例中的任一测试用例的测试访问结果和该测试用例的预设的预期访问结果不同,确定所述待测试软件接口存在越权漏洞;或者响应于所述多个测试用例中每一个测试用例的测试访问结果和该测试用例的预设的预期访问结果均相同,确定所述待测试软件接口不存在越权漏洞。
7、本申请实施例之一提供一种软件接口的越权漏洞测试装置,所述装置包括:生成模块,用于响应于待测试软件接口与已建立的目标正则表达式匹配,根据所述待测试软件接口,生成与所述目标正则表达式关联的多个测试用例;其中,所述目标正则表达式用于表示存在越权漏洞的概率大于预设阈值的软件接口;测试模块,用于利用所述多个测试用例,对所述待测试软件接口进行越权漏洞测试;确定模块,用于根据越权漏洞测试的结果,确定所述待测试软件接口是否存在越权漏洞。
8、本申请实施例提供一种电子设备,所述电子设备包括存储器和处理器,存储器存储计算机程序,处理器运行程序时执行如上所述的方法。
9、本申请实施例提供一种存储介质,用于存储计算机可读程序,所述计算机可读程序被运行时,执行如上所述的方法。
10、本申请实施例提供的上述技术方案与现有技术相比至少具有如下优点:
11、本申请提供的实施例中,响应于待测试软件接口与已建立的目标正则表达式匹配,根据待测试软件接口,生成与目标正则表达式关联的多个测试用例;其中,目标正则表达式用于表示存在越权漏洞的概率大于预设阈值的软件接口;利用多个测试用例,对待测试软件接口进行越权漏洞测试;根据越权漏洞测试的结果,确定待测试软件接口是否存在越权漏洞。从而可以准确、高效地进行软件接口的越权漏洞测试。
本文档来自技高网...【技术保护点】
1.一种软件接口的越权漏洞测试方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
3.根据权利要求2所述的方法,其特征在于,利用以下方式建立所述目标正则表达式:
4.根据权利要求3所述的方法,其特征在于,所述根据所述待测试软件接口,生成与所述目标正则表达式关联的多个测试用例,包括:
5.根据权利要求4所述的方法,其特征在于,所述利用所述多个测试用例,对所述待测试软件接口进行越权漏洞测试,包括:
6.一种软件接口的越权漏洞测试装置,其特征在于,包括:
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
8.根据权利要求7所述的装置,其特征在于,利用以下方式建立所述目标正则表达式:
9.一种电子设备,所述电子设备包括存储器和处理器,存储器存储计算机程序,处理器运行程序时执行如权利要求1至5中任一项所述的方法。
10.一种存储介质,用于存储计算机可读程序,所述计算机可读程序被运行时,执行如权利要求1至5中任一项所述的方法。
【技术特征摘要】
1.一种软件接口的越权漏洞测试方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
3.根据权利要求2所述的方法,其特征在于,利用以下方式建立所述目标正则表达式:
4.根据权利要求3所述的方法,其特征在于,所述根据所述待测试软件接口,生成与所述目标正则表达式关联的多个测试用例,包括:
5.根据权利要求4所述的方法,其特征在于,所述利用所述多个测试用例,对所述待测试软件接口进行越权漏洞测试,包括:
...【专利技术属性】
技术研发人员:蒋海,陈璞,
申请(专利权)人:布比北京网络技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。