本发明专利技术涉及测试领域,公开了一种自动化的漏洞检测方法及装置。本发明专利技术中,记录对被测系统进行访问时所产生的访问记录;将该访问记录分别与预设的多个漏洞检测规则进行匹配;以及根据匹配结果,确定该被测系统存在的漏洞;本发明专利技术还提供了一种自动化的漏洞检测装置。此种漏洞检测方式,可以提高测试效率并且对测试人员的要求低。
【技术实现步骤摘要】
本专利技术涉及测试领域,特别涉及一种自动化的漏洞检测方法及装置。
技术介绍
在系统构建时,例如网购系统,不可避免地会存在很多的漏洞(即bug),例如SQL注入,即没有采用参数化查询导致SQL注入漏洞的产生,这是一种很严重的漏洞。其他的一些漏洞还包括:XSS(跨站点脚本)、命令执行、文件包含等。而现在业界很多对系统的测试一般都关注于功能的测试,即测试系统能否实现其功能,针对网购系统而言,主要测试用户能否正常将商品添加至购物车、能否正常下单、能否查询订单信息等功能。而业界较忽略对漏洞的测试。而一旦系统中的漏洞被外界获悉,则很有可能造成系统中大量的用户个人敏感信息(如联系地址、身份证号、联系电话、用户密码)的泄漏。因此,对系统中存在的漏洞(如安全漏洞)的测试显得十分地重要。但是,现在业界的测试方式中,一般都是由安全测试人员独立地去编写测试代码,设计测试规则,然后对各种可能的漏洞进行单独地测试。此种测试方式一方面对测试人员的要求较高,如果不是经过专业培训并积累了丰富的测试经验,一般很难满足要求,不适合于普通测试人员(如功能测试人员)进行测试。另一方面,现有的测试方式还存在测试效率低下的问题。因此,现有的测试方式实有改进之必要。
技术实现思路
本专利技术的目的在于提供一种自动化的漏洞检测方法及装置,能够提高漏洞检测效率并且对测试人员要求不高。为解决上述技术问题,本专利技术的实施方式提供了一种自动化的漏洞检测方法,包括:记录对被测系统进行访问时所产生的访问记录;以及将该访问记录分别与预设的多个漏洞检测规则进行匹配;根据匹配结果,确定该被测系统存在的漏洞。本专利技术的实施方式还提供了一种自动化的漏洞检测装置,包括:记录模块,用于记录对被测系统进行访问时所产生的访问记录;以及匹配模块,用于将该记录模块记录的该访问记录分别与预设的多个漏洞检测规则进行匹配;确定模块,用于根据该匹配模块进行匹配所产生的匹配结果,确定该被测系统存在的漏洞。本专利技术实施方式相对于现有技术而言,通过记录对被测系统进行访问时所产生的访问记录(如访问被测系统时产生的数据,包括发送至系统的数据和从系统接收到的数据),然后利用预设的多个漏洞检测规则分别来对这些访问记录进行检测,以确定这些访问记录能否匹配到某些漏洞检测规则,然后根据匹配结果,自动化地确定相关漏洞。此种方式,在漏洞检测规则设定好之后,就可以自动化地对系统的漏洞进行检测,从而可以提高检测效率,并且该种方式无需实际的测试人员懂得相关漏洞检测规则,因此对测试人员的要求也比较低,适合普通的测试人员(如功能测试人员)使用。另外,对该被测系统进行访问是指对该被测系统中的网页进行访问,其中该访问记录包括:对该被测系统中网页的访问请求以及对应的访问响应。本实施方式,比较适合于对网页服务系统的安全漏洞进行检测。另外,在所述记录对被测系统进行访问时所产生的访问记录之前,还包括:建立代理系统,对该被测系统的访问均通过该代理系统进行。本实施方式,通过在浏览器客户端和网页服务器之间建立一个代理系统,就可以记录对系统进行访问所产生的访问记录。另外,所述将该访问记录分别与预设的多个漏洞检测规则进行匹配,包括:对该访问记录进行去重复操作,以得到去重后的访问记录;将该去重后的访问记录分别与该预设的多个漏洞检测规则进行匹配。由于本实施方式的漏洞检测方式可以由普通测试人员使用,例如功能测试人员,即本实施方式的漏洞检测可以与功能测试整合为一体,而功能测试时容易反复产生重复的访问记录(如同一个商品网页反复访问),因此本实施方式增加一去重操作来对访问记录进行优化,以减少后续漏洞检测规则匹配中所处理的数据量,以提高处理效率。另外,所述确定该被测系统存在的漏洞之后,还包括:显示该确定的漏洞以及该漏洞的相关参数。本实施方式中,通过显示确定的漏洞及相关参数,这样测试人员可以及时给其他人员反馈并解决相关漏洞问题。其中,显示漏洞相关的参数(如漏洞的规则,或者漏洞可能由什么导致的)的考虑在于,其中系统建立阶段设计漏洞检测规则的人员,与系统运行阶段实际维护漏洞检测规则的人员,以及测试阶段实际检测漏洞的人员一般是不同的,因此显示漏洞相关的参数有助于相关人员(各阶段的人员或者其他人员)尽快认识到漏洞的情形,从而能够更快地对漏洞进行修改,提高修复效率。附图说明图1是根据本专利技术第一实施方式的自动化的漏洞检测方法的流程示意图;图2是根据本专利技术第二实施方式的自动化的漏洞检测方法的流程示意图;图3是本专利技术实施方式中搭建的代理系统的结构示意图;图4是根据本专利技术第三实施方式的自动化的漏洞检测装置的结构示意图;图5是根据本专利技术第四实施方式的自动化的漏洞检测装置的结构示意图;图6是根据本专利技术第五实施方式的自动化的漏洞检测装置的结构示意图;图7是根据本专利技术第六实施方式的自动化的漏洞检测装置的结构示意图;图8是根据本专利技术第七实施方式的http(超文本传输协议)代理服务器的结构示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术的各实施方式进行详细的阐述。在本专利技术各实施方式中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请各权利要求所要求保护的技术方案。本专利技术的第一实施方式涉及一种自动化的漏洞检测方法。具体流程如图1所示。具体包括:步骤11:记录对被测系统进行访问时所产生的访问记录。步骤12:将该访问记录分别与预设的多个漏洞检测规则进行匹配。其中,访问记录包括:对被测系统中网页的访问请求以及对应的访问响应。步骤13:根据匹配结果,确定该被测系统存在的漏洞。其中,在步骤11中,被测系统例如可以为网页服务系统,如网购系统。其中记录的访问记录可以有多条,一般而言,记录的访问记录越多且详细,越有利于后续的漏洞检测。并且,本实施方式的漏洞检测可以与功能测试相结合,即在功能测试中记录功能测试时记录相应的访问记录。需要说明的是,将功能测试与本实施方式的漏洞检测相结合,可以减少测试的次数;同时,功能测试时一般会较全面地对系统中的各个网页进行访问,因此功能测试时所产生的访问记录一般较全面,有利于漏洞检测。其中,在步骤11中的访问记录中每一条访问记录可以包括:对该被测系统中网页的访问请求(如http访问请求)以及对应的访问响应。其中,在步骤12中,预先设置了多个漏洞检测规则,例如XSS漏洞检测规则、命令执行漏洞检测规则、文件包含漏洞检测规则,等等。从而在步骤12中,可以利用步骤11记录到的数据(即访问记录)来依次与这些漏洞检测规则进行匹配,以识别这些记录到的数据具体能够匹配到哪些漏洞检测规则,对于能够匹配到规则的响应结果,则说明该被被测系统存在该漏洞检测规则所描述的漏洞。其中,对于系统层面而言,步骤11得到的访问记录实质上为一些代码数据,而步骤12即是利用该代码数据来匹配预设的多个漏洞检测。其中,在步骤13中,可以根据步骤12得到的匹配结果,确定被测系统存在的漏洞,例如当在步骤12中发现步骤11记录的数据能够匹配到XSS漏洞检测规则时,在步骤13中确定被测系统中存在XSS漏洞。本专利技术实施方式相对于现有技术而言,通过记录对被测系统进行访问时所产生的访问记录(如访问被测系统时产生的数据,包括发本文档来自技高网...
【技术保护点】
一种自动化的漏洞检测方法,其特征在于,包括:记录对被测系统进行访问时所产生的访问记录;将该访问记录分别与预设的多个漏洞检测规则进行匹配;根据匹配结果,确定该被测系统存在的漏洞。
【技术特征摘要】
1.一种自动化的漏洞检测方法,其特征在于,包括:记录对被测系统进行访问时所产生的访问记录;将该访问记录分别与预设的多个漏洞检测规则进行匹配;根据匹配结果,确定该被测系统存在的漏洞。2.根据权利要求1所述的自动化漏洞检测方法,其特征在于,所述访问记录包括:对所述被测系统中网页的访问请求以及对应的访问响应。3.根据权利要求2所述的自动化的漏洞检测方法,其特征在于,在所述记录对被测系统进行访问时所产生的访问记录之前,还包括:建立代理系统,对所述被测系统的访问均通过该代理系统进行。4.根据权利要求3所述的自动化的漏洞检测方法,其特征在于,所述记录对被测系统进行访问时所产生的访问记录,包括:利用该代理系统中的缓存器来记录对该被系统进行访问所产生的访问记录。5.根据权利要求1至4中任一项所述的自动化的漏洞检测方法,其特征在于,所述将该访问记录分别与预设的多个漏洞检测规则进行匹配,包括:对该访问记录进行去重复操作,以得到去重后的访问记录;将该去重后的访问记录分别与该预设的多个漏洞检测规则进行匹配。6.根据权利要...
【专利技术属性】
技术研发人员:车祺丰,
申请(专利权)人:乐视控股北京有限公司,乐视电子商务北京有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。