安全测试方法、装置、系统、设备和存储介质制造方法及图纸

本发明专利技术公开了一种安全测试方法、装置、系统、设备和存储介质。该安全测试方法包括：测试端发送测试请求，测试请求用于请求被测应用执行漏洞测试命令时，通过第一通道向指定服务器发送通信消息，其中，第一通道位于被测应用与指定服务器之间，且第一通道为被测应用的测试请求响应通道以外的数据传输通道；响应于接收到来自指定服务器的针对通信消息的处理信息，确定被测应用存在安全漏洞。根据本发明专利技术实施例提供的安全测试方法，判定被测应用是否存在安全漏洞，解决应用安全测试中的漏报问题。

Safety testing methods, devices, systems, equipment and storage media

【技术实现步骤摘要】
安全测试方法、装置、系统、设备和存储介质
本专利技术涉及信息安全
，尤其涉及一种安全测试方法、装置、系统、设备和存储介质。
技术介绍
应用安全测试是应用系统在上线前进行测试工作的重要组成部分，通过应用安全测试发现应用系统存在的安全漏洞，从而帮助企业人员及时修复安全漏洞，保障投产到生产环境的应用系统能够安全稳定的运行。现有技术中的应用安全测试，例如黑盒自动化测试，通常是在系统开发完成后搭建测试环境，并使用自动化测试工具模拟黑客攻击对应用系统发起带有漏洞特征的特定请求，应用系统收到特定请求，并按照漏洞测试逻辑执行相关动作后，返回执行的特定结果，自动化测试工具根据返回的特定内容判断是否系统应用是否存在安全漏洞。实际应用中，应用系统收到特定请求并按照漏洞测试逻辑执行相关动作后，存在没有向自动化测试工具返回执行的特定结果，从而导致自动化测试工具判断应用系统不存在安全漏洞，产生安全测试的漏报问题。
技术实现思路
本专利技术实施例提供一种安全测试方法、装置、系统、设备和存储介质，可以判定被测应用是否存在安全漏洞，解决应用安全测试中的漏报问题。根据本专利技术实施例的第一方面，提供一种安全测试方法，本文档来自技高网...

【技术保护点】
1.一种安全测试方法，其特征在于，所述安全测试方法包括：测试端发送测试请求，所述测试请求用于请求被测应用执行漏洞测试命令时，通过第一通道向指定服务器发送通信消息，其中，所述第一通道位于所述被测应用与所述指定服务器之间，且所述第一通道为所述被测应用的测试请求响应通道以外的数据传输通道；响应于接收到来自所述指定服务器的针对所述通信消息的处理信息，确定所述被测应用存在安全漏洞。

【技术特征摘要】
1.一种安全测试方法，其特征在于，所述安全测试方法包括：测试端发送测试请求，所述测试请求用于请求被测应用执行漏洞测试命令时，通过第一通道向指定服务器发送通信消息，其中，所述第一通道位于所述被测应用与所述指定服务器之间，且所述第一通道为所述被测应用的测试请求响应通道以外的数据传输通道；响应于接收到来自所述指定服务器的针对所述通信消息的处理信息，确定所述被测应用存在安全漏洞。2.根据权利要求1所述的安全测试方法，其特征在于，所述第一通道，是根据所述被测应用与所述指定服务器之间的允许访问端口，或根据所述允许访问端口使用的数据通讯协议建立的数据传输通道。3.根据权利要求1所述的安全测试方法，其特征在于，所述安全测试方法还包括：针对所述被测应用的至少一个待测试应用接口，生成测试用例，所述测试用例包括测试用例唯一标识码、指定服务器地址、以及针对特定漏洞的漏洞测试命令；根据所述至少一个待测试接口和所述测试用例，生成针对所述被测应用的特定漏洞的至少一个测试请求。4.根据权利要求3所述的安全测试方法，其特征在于，所述漏洞测试命令，是根据所述特定漏洞，或根据所述特定漏洞、所述第一通道使用的端口和第一通道使用的数据通讯协议生成的命令。5.根据权利要求1所述的安全测试方法，其特征在于，所述通信数据的处理信息，是通过监听本地端口和/或通过应用程序编程接口接收的，所述应用程序编程接口被设置为接受所述指定服务器的网络服务调用。6.根据权利要求3所述的安全测试方法，其特征在于，所述安全测试方法还包括：提取所述通信数据的处理信息中的唯一标识码；比对所述测试用例中是否存在与提取的所述唯一标识码相匹配的测试用例唯一标识码；根据比对结果，确定所述被测应用存在的特定漏洞和所述特定漏洞的漏洞类型。7.根据权利要求6所述的安全测试方法，其特征在于，如果所述比对结果为存在相匹配的测试用例唯一标识码，根据所述相匹配的测试用例唯一标识码对应的测试用例所针对的特定漏洞，确定所述被测应用存在的特定漏洞的漏洞类型。8.根据权利要求7所述的安全测试方法，其特征在于，所述安全测试方法还包括：生成第一报警信息，所述第一报警信息用于指示所述被测应用存在已知漏洞类型的安全漏洞。9.根据权利要求6所述的安全测试方法，其特征在于，所述安全测试方法还包括：如果所述比对结果为不存在相匹配的测试用例唯一标识码，生成第二报警信息，所述第二报警信息用于指示所述被测应用存在未明确漏洞类型的安全漏洞。10.根据权利要求3所述的安全测试方法，其特征在于，所述安全测试方法还包括：通过所述测试请求响应通道，接收来自所述被测应用的测试响应数据；根据所述测试响应数据，确定针对所述被测应用的特定漏洞的每个测试请求均已执行完成时，生成所述被测应用的安全测试报告。11.根据权利要求10所述的安全测试方法，其特征在于，所述安全测试报告包括如下项中的至少一项：所述被测应用的特定漏洞的漏洞名称、漏洞类型、漏洞危险级别、存在所述特定漏洞的所述被测应用的待测试接口。12.一种安全测试方法，其特征在于，所述安全测试方法包括：指定服务器通过第一通道接收来自被测应用的通信消息，其中，所述第一通道位于所述被测应用与所述指定服务器之间，且所述第一通道为所述被测应用的测试请求响应通道以外的数据传输通道；针对接收的所述通信消息进行数据解析，得到所述通信消息的处理信息；发送所述通信消息的处理信息，以利用所述处理信息确定所述被测应用是否存在安全漏洞。13.根据权利要求12所述的安全测试方法，其特征在于，所述第一通道，是根据所述被测应用与所述指定服务器之间的允许访问端口，或根据所述允许访问端口使用的数据通讯协议建立的数据传输通道。14.根据权利要求12所述的安全测试方法，其特征在于，所述通信消息包括：通过使用应用层通讯协议的第一通道接收的服务请求数据，和/或，通过使用网络层协议的第一通道抓取的流量数据。15.根据权利要求12所述的安全测试方法，其特征在于，解析所述通信消息时，针对传输所述通信消息的第一通道使用的协议的协议类型，选择与所述协议类型对应的数据处理格式。16.根据权利要求12所述的安全测试方法，其特征在于，所述安全测试方法还包括：设置网络访问规则，所述网络访问规则用于允许所述被测应用通过所述第一通道传输所述通信消息。17.根据权利要求12所述的安全测试方法，其特征在于，所述发送所述通信消息的处理信息，包...

【专利技术属性】
技术研发人员：丁玲明，周恒磊，邓乐，孙会林，
申请(专利权)人：中国银联股份有限公司，
类型：发明
国别省市：上海,31