【技术实现步骤摘要】
用于检测业务逻辑漏洞的方法、装置、系统、设备及介质
本公开涉及自动化测试
,尤其涉及一种用于检测业务逻辑漏洞的方法、装置、系统、设备及介质。
技术介绍
在应用程序中,为了保障业务系统的安全,几乎每个系统都会存在各种各样的验证功能,如账号密码验证、验证码验证、关键交易参数验证等。此类用户提交的参数仅在前端做验证是不安全的,攻击者可以使用各种方法轻易的绕过。如在电子书购物交易中,应用程序要求用户在付款后才能浏览对应图书,如果是否付费标识只依赖前端脚本控制,那么恶意用户可以通过浏览器调试工具篡改前端验证逻辑,或使用抓包工具篡改通信报文中相关参数,绕过前端控制,免费使用服务,造成网站资金损失。在日常测试中,针对以上场景,需要人工分析业务功能,构造正常业务规则范围外的测试数据,通过前端代码调试或抓包篡改通信报文等方法将测试数据发送到服务端进行测试。此种测试方法至少存在如下不足:1.测试点易遗漏。上述方法主要依赖于测试人员在充分了解业务功能后,判断测试点并构造测试数据,遍历所有异常场景,极易出现漏测;2.技术难度大。无论是前端代码调试还是使用工具抓包修改业务参数,都具有...
【技术保护点】
1.一种用于检测业务逻辑漏洞的方法,包括:响应于获得服务端下发到客户端的脚本,识别所述脚本中的逻辑判断节点作为关键数据;响应于获得客户端向所述服务端发送的业务请求,从所述业务请求中提取请求参数;基于所述关键数据处理所述请求参数,确定所述请求参数的合法取值范围;基于所述合法取值范围,构造包含不合法的请求参数在内的攻击请求,并将所述攻击请求发送到所述服务端;以及接收所述服务端针对所述攻击请求的响应信息,并根据所述响应信息确定是否存在业务逻辑漏洞。
【技术特征摘要】
1.一种用于检测业务逻辑漏洞的方法,包括:响应于获得服务端下发到客户端的脚本,识别所述脚本中的逻辑判断节点作为关键数据;响应于获得客户端向所述服务端发送的业务请求,从所述业务请求中提取请求参数;基于所述关键数据处理所述请求参数,确定所述请求参数的合法取值范围;基于所述合法取值范围,构造包含不合法的请求参数在内的攻击请求,并将所述攻击请求发送到所述服务端;以及接收所述服务端针对所述攻击请求的响应信息,并根据所述响应信息确定是否存在业务逻辑漏洞。2.根据权利要求1所述的方法,还包括:拦截所述客户端与服务端之间的交互数据;从所述交互数据中识别出所述服务端下发到客户端的脚本以及客户端向所述服务端发送的业务请求。3.根据权利要求1所述的方法,还包括:对所述关键数据进行插桩处理;所述基于所述关键数据处理所述请求参数,确定所述请求参数的合法取值范围包括:从基于经插桩处理的脚本生成的业务请求中获得桩点信息;以及基于所述桩点信息,确定所述请求参数的合法取值范围。4.根据权利要求1所述的方法,其中,所述获得服务端针对所述攻击请求的响应信息,确定是否存在业务逻辑漏洞包括:将所述业务请求发送到所述服务端,以获得针对所述业务请求的响应信息;将所述攻击请求的响应信息与业务请求的响应信息进行比对,以便确定是否存在业务逻辑漏洞;所述方法还包括,在存在业务逻辑漏洞的情况下,生成告警信息。5.一种用于检测业务逻辑漏洞的装置,包括:识别模块,用于响应于获得服务端下发到客户端的脚本,识别所述脚本中的逻辑判断节点作为关键数据;提取模块,用于响应于获得客户端向所述服务端发送的业务请求,从所述业务请求中提取请求参数;第一确定模块,用于基于所述关键数据处理所述请求参数,确定所述请求参数的合法取值范围;构造模块,用于基于所述合法取值范围,构造包含不合法的请求参数在内的攻击请求,并将所述攻击请求发送到所述服务端;以及第二...
【专利技术属性】
技术研发人员:叶红,旷亚和,姜城,刘婉娇,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。