检测目标软件的方法和装置制造方法及图纸

本发明专利技术公开了一种检测目标软件的方法和装置。其中，该方法包括：获取目标测试用例，其中，目标测试用例包括变异后的测试文件；监控在目标软件中运行目标测试用例；如果监控到异常，则确定目标软件存在安全漏洞。本发明专利技术解决了现有的模糊测试方法只关注目标软件对文件格式的解析和编解码处理过程，导致测试效率低的技术问题。

Method and device for detecting target software

The invention discloses a method and a device for detecting target software. Among them, the method includes: obtaining the target test case, the target test cases including test file after variation; monitor the operation target of test case in the target software; if to monitor the abnormal, determining target software security vulnerabilities. The present invention solves the problem that the existing fuzzy testing methods only focus on the parsing and coding and decoding process of the target software, resulting in low test efficiency.

【技术实现步骤摘要】
检测目标软件的方法和装置
本专利技术涉及互联网安全领域，具体而言，涉及一种检测目标软件的方法和装置。
技术介绍
现有的软件测试方案可以采用模拟测试方法，例如在浏览器软件中添加新的代码之后，对于漏洞挖掘工程师来说，这是浏览器的一个新的攻击面，也已经有工程师对这部分代码进行模糊测试试图寻找浏览器软件的安全缺陷和漏洞，但是目前的模糊测试方法还是使用传统的针对文件进行模糊测试的方法：第一种方法是基于变异的模糊测试方法，具体实现步骤如下：1)收集大量的样本文件；2)对样本文件进行变异；3)将变异后的测试文件输入到目标软件，观察是否有异常发生，若观测到异常则报告发现安全缺陷。另一种方法是基于生成的模糊测试方法，这种方法的测试样本文件是在了解文件格式的基础上对文件的各个字段的数值进行变异生成的，除此以外其它步骤与基于变异的模糊测试方法类似。因此，基于变异的模糊测试方法和基于生成的模糊测试方法都只是将关注点放在目标软件对文件格式的解析和编解码处理过程上。针对现有的模糊测试方法只关注目标软件对文件格式的解析和编解码处理过程，导致测试效率低的技术问题，目前尚未提出有效的解决方案。专利
技术实现思路
本专利技术实本文档来自技高网...

【技术保护点】
一种检测目标软件的方法，其特征在于，包括：获取目标测试用例，其中，所述目标测试用例包括变异后的测试文件；监控在目标软件中运行所述目标测试用例；如果监控到异常，则确定所述目标软件存在安全漏洞。

【技术特征摘要】
1.一种检测目标软件的方法，其特征在于，包括：获取目标测试用例，其中，所述目标测试用例包括变异后的测试文件；监控在目标软件中运行所述目标测试用例；如果监控到异常，则确定所述目标软件存在安全漏洞。2.根据权利要求1所述的方法，其特征在于，在所述目标测试用例为网页测试用例的情况下，获取目标测试用例，包括：创建测试元素，并将所述测试元素与所述变异后的测试文件相关联；通过在所述目标测试用例中添加所述测试元素所对应的数据，得到包含所述变异后的测试文件的目标测试用例。3.根据权利要求2所述的方法，其特征在于，在创建测试元素，并将所述测试元素与所述变异后的测试文件相关联之后，所述方法还包括：根据随机整数的mod计算结果，确定待添加至所述目标测试用例中的数据；在所述mod计算结果满足第一预设条件的情况下，所述待添加至所述目标测试用例中的数据至少包括如下与所述测试元素相关联的元素参数：所述测试元素的属性、所述测试元素的属性类型、所述测试元素的事件和所述测试元素的至少一个危险操作；在所述mod计算结果满足第二预设条件的情况下，所述待添加至所述目标测试用例中的数据至少包括如下任意一个或多个与所述测试元素相关联的元素参数：所述测试元素的快进操作、后退操作、画面大小缩放操作和全屏操作。4.根据权利要求2所述的方法，其特征在于，在创建测试元素，并将所述测试元素与所述变异后的测试文件相关联之后，所述方法还包括：获取待添加至所述目标测试用例中的如下任意一个或多个数据:所述测试元素的属性、所述测试元素的属性类型、所述测试元素的事件、所述测试元素的至少一个危险操作、所述测试元素的快进操作、后退操作、画面大小缩放操作和全屏操作。5.根据权利要求2至4中任意一项所述的方法，其特征在于，通过在所述目标测试用例中添加所述测试元素所对应的数据，得到包含所述变异后的测试文件的目标测试用例，包括：从预存的位置获取一个或多个与所述测试元素关联的元素参数；在所述目标测试用例中添加一个或多个所述元素参数所对应的数据。6.根据权利要求5所述的方法，其特征在于，在所述目标测试用例中添加一个或多个所述元素参数所对应的数据，包括如下添加操作：根据获取到的所述测试元素的属性和属性类型在所述目标测试用例中添加所述测试元素的属性赋值操作；根据获取到的所述测试元素的事件在所述目标测试用例中添加所述测试元素的事件处理操作；根据获取到的所述测试元素的至少一个危险操作在所述目标测试用例中的所述测试元素的事件处理函数中添加所述至少一个危险操作。7.根据权利要求5所述的方法，其特征在于，在所述目标测试用例中添加一个或多个所述元素参数所对应的数据，包括如下任意一种或多种添加操作：在所述目标测试用例中添加所述测试元素的快进操作、后退操作、画面大小缩放操作和全屏操作。8.根据权利要求1所述的方法，其特征在于，所述变异后的测试文件为视频测试用例，所述目标测试用例为HTML测试用例，所述目标软件为浏览器或用于打开所述HTML测试用例的应用软件。9.根据权利要求8所述的方法，其特征在于，在监控在目标软件中运行所述目标测试用例之前，所述方法还包括：启动自动化脚本执行打开所述浏览器进程或所述应用软件进程，解析所述HTML测试用例的操作命令。1...

【专利技术属性】
技术研发人员：阳俊文，刘晋成，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY