【技术实现步骤摘要】
本专利技术涉及通信
,尤其涉及一种内容计费漏洞的测试方法和装置。
技术介绍
由于现网中存在内容计费规则配置不当或计费设备恶意报文识别机制不当的缺陷,因此,恶意用户可以通过购买、下载免费工具进行流量伪装,从而实现逃费,这给运营商造成了较大的损失。目前,一般是在检测到某一用户的免费流量超过阈值之后,对该用户的业务流量进行跟踪,并根据跟踪过程中捕获的报文的特征来分析该计费设备是否存在内容计费漏洞(下文中称为“计费漏洞”)。上述技术方案中,只能在用户利用计费漏洞造成逃费事件之后,且该用户再次进行逃费时,才能发现、捕获并验证存在计费漏洞;然而在发现计费设备存在计费漏洞并被利用之前,已经对运营商造成了一定的损失。
技术实现思路
本专利技术的实施例提供一种内容计费漏洞的测试方法和装置,用以至少解决现有技术中因“只能在计费漏洞被攻击者利用之后,才能通过跟踪该攻击者的数据发现漏洞”而导致的“对运营商造成了一定的损失”的问题。为达到上述目的,本专利技术的实施例采用如下技术方案:第一方面,提供一种内容计费漏洞的测试方法,包括:拨测终端经被测网络向代理服务器发送访问请求消息;其中,访问请求消息中携带预定格式的请求报文,用于请求待访问内容;待访问内容是用于进行内容计费漏洞测试的特定资源;预定格式是待测计费漏洞的任一个测试用例所设定的格式;被测网络中包含计费设备;拨测终端接收代理服务器经被测网络发送的访问响应消息;其中,访问响应消息中包含待访问内容;拨测终端获取上述交互过程中计费设备的计费信息,并根据计费信息确定计费设备是否存在待测计费漏洞。第二方面,提供一种内容计费漏洞的测试方 ...
【技术保护点】
一种内容计费漏洞的测试方法,其特征在于,包括:拨测终端经被测网络向代理服务器发送访问请求消息;其中,所述访问请求消息中携带预定格式的请求报文,用于请求待访问内容;所述待访问内容是用于进行内容计费漏洞测试的特定资源;所述预定格式是待测计费漏洞的任一个测试用例所设定的格式;所述被测网络中包含计费设备;所述拨测终端接收所述代理服务器经所述被测网络发送的访问响应消息;其中,所述访问响应消息中包含所述待访问内容;所述拨测终端获取上述交互过程中所述计费设备的计费信息,并根据所述计费信息确定所述计费设备是否存在所述待测计费漏洞。
【技术特征摘要】
1.一种内容计费漏洞的测试方法,其特征在于,包括:拨测终端经被测网络向代理服务器发送访问请求消息;其中,所述访问请求消息中携带预定格式的请求报文,用于请求待访问内容;所述待访问内容是用于进行内容计费漏洞测试的特定资源;所述预定格式是待测计费漏洞的任一个测试用例所设定的格式;所述被测网络中包含计费设备;所述拨测终端接收所述代理服务器经所述被测网络发送的访问响应消息;其中,所述访问响应消息中包含所述待访问内容;所述拨测终端获取上述交互过程中所述计费设备的计费信息,并根据所述计费信息确定所述计费设备是否存在所述待测计费漏洞。2.根据权利要求1所述的方法,其特征在于,所述拨测终端获取上述交互过程中所述计费设备的计费信息,包括:所述拨测终端在确定所述访问响应消息与预设访问响应消息一致的情况下,获取上述交互过程中所述计费设备的计费信息。3.根据权利要求1或2所述的方法,其特征在于,若所述被测网络的接入点是WAP类型的接入点,则所述测试用例包括:通用机制缺陷类测试用例或配置漏洞类测试用例;若所述被测网络的接入点是NET类型的接入点,则所述测试用例包括配置漏洞类测试用例。4.根据权利要求3所述的方法,其特征在于,若所述测试用例是所述通用机制缺陷类测试用例,则所述请求报文具有以下特征中的任一种:所述请求报文包含两个Host字段,且所述两个Host字段的域名不一致;所述请求报文包含两个X-Online-Host字段,且所述两个X-Online-Host字段的域名不一致;所述请求报文中的URL的域名与Host字段的域名不一致;所述请求报文中的URL的域名与X-Online-Host字段的域名不一致;所述请求报文Host字段的域名与X-Online-Host字段的域名不一致;所述请求报文采用未指定协议名称的URL;所述请求报文采用两个Get语句且所述两个Get语句中的URL不一致;所述请求报文采用Content-Type字段内容为彩信标识且URL与Host字段的域名不一致;所述请求报文中采用不规范字段结束符;所述请求报文中的URL的路径名称中携带免费域名关键字;所述请求报文中包含两个HTTPHeader,且所述两个Header中的请求URL域名不一致;所述请求报文中包含的IP五元组与其他请求报文中包含的IP五元组相同,且所述请求报文与所述其他请求报文指向不同的站点。5.根据权利要求3所述的方法,其特征在于,所述测试用例是所述配置漏洞类测试用例;若所述被测网络的接入点是NET类型的接入点,则所述请求报文的特征包括:所述请求报文中的目的IP地址与域名指向不一致;或者,若所述被测网络的接入点是WAP类型的接入点,则所述请求报文的特征包括:所述请求报文中的请求站点的域名具有免费域名关键字的前缀。6.根据权利要求5所述的方法,其特征在于,所述请求报文中的URL的路径名称中携带免费域名关键字;在所述拨测终端经被测网络向代理服务器发送访问请求消息之前,所述方法还包括:所述拨测终端向资源服务器发送资源准备请求消息;其中,所述资源准备请求消息中包含所述请求报文中需要使用的用户提供的免费内容计费规则URL列表中的首个URL,以指示所述资源服务器建立特定资源路径;所述特定资源路径满足所述请求报文中的URL中的路径对于所述免费域名关键字的要求。7.一种内容计费漏洞的测试方法,其特征在于,包括:代理服务器接收拨测终端经计费设备发送的访问请求消息;所述访问请求消息中包含携带预定格式的请求报文,用于请求待访问内容;所述待访问内容是用于进行内容计费漏洞测试的特定资源;所述预定格式是待测计费漏洞的任一个测试用例所设定的格式;所述被测网络中包含计费设备;所述代理服务器经所述被测网络向所述拨测终端发送访问响应消息,其中,所述访问响应消息中包含所述待访问内容;所述访问响应消息用于使所述拨测终端在接收到所述访问响应消息之后,获取上述交互过程中所述计费设备的计费信息,并根据所述计费信息确定所述计费设备是否存在所述待测计费漏洞。8.根据权利要求7所述的方法,其特征在于,在所述代理服务器接收拨测终端经计费设备发送的访问请求消息之后,所述方法还包括:所述代理服务器根据所述URL域名中的主机名,对所述请求报文进行修正,并利用修正后的请求报文获取所述访问响应消息。9.一种内容计费漏洞的测试方法,其特征在于,包括:资源服务器接收拨测终端发送的资源准备请求消息;其中,所述资源准备请求消息中包含请求报文中需要使用的用户提供的免费内容计费规则URL列表中的首个URL;所述资源服务器根据所述资源准备请求消息,建立特定资源路径;所述特定资源路径满足所述请求报文中的URL中的路径对于所述免费域名关键字的要求;所述资源服务器接收代理服务器转发的来自所述拨测终端的访问请求消息;其中,所述访问请求消息中携带预定格式的所述请求报文,用于请求待访问内容;所述待访问内容是用于进行内容计费漏洞测试的特定资源;所述预定格式是待测计费漏洞的任一个测试用例所设定的格式;所述被测网络中包含计费设备;所述资源服务器根据所述访问请求消息和所述特定资源路径,获取所述待访问内容;所述资源服务器经所述代理服务器和所述被测网络向所述拨测终端发送访问响应消息;其中,所述访问响应消息中包含所述待访问内容,用于指示所述拨测终端获取上述从拨测终端发送所述访问请求消息至接收到所述访问响应消息的过程中,所述计费设备的计费信息,并根...
【专利技术属性】
技术研发人员:朱安南,高枫,白晓媛,唐磊,姜楠,
申请(专利权)人:中国联合网络通信集团有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。