【技术实现步骤摘要】
基于IAST检测Web应用请求覆盖度的方法及系统
本专利技术涉及Web应用请求检测
,尤其涉及一种基于IAST检测Web应用请求覆盖度的方法及系统。
技术介绍
随着互联网的发展,网络应用越来越普及,人们的生活越来越方便,购物,点餐,通信聊天等都可以依靠网络应用去实现。理论上,一个网络应用的所有接口上都应该测试没有问题后再去给用户使用,可是由于开发人员与测试人员的专业技术范围不同以及开发人员流动性较大,往往并不能非常完整的检测一个应用下所有的请求接口,比如一个正常的javaWeb应用分为前端与后端,后端写了100个接口,但是前端页面只展示了70个,测试人员往往是通过页面点击测试,这时候就存在测试不完整,有些不安全的且没有暴露的后端接口可能会被黑客暴力攻击。目前对Web应用程序的请求覆盖度的检测主要是基于白盒工具和黑盒工具两种。利用白盒工具检测请求覆盖度的缺陷时,需要获取当前应用所有的代码文件,逐行匹配去获取对应的请求集合,耗时长,复杂度高,如果应用请求存储在数据库中则无法实现;利用黑盒工具检测请求覆盖度时,不能获取到所有...
【技术保护点】
1.一种基于IAST检测Web应用请求覆盖度的方法,其特征在于,包括如下步骤:/nS1)、采用IAST测试工具插桩待检测应用程序所属的Web框架;/nS2)、启动所述应用程序,通过所述IAST测试工具获取所述Web框架分发的请求容器,所述请求容器中包括有为所述应用程序设计的所有请求的请求集合;/nS3)、所述请求集合包括有请求原型和请求方法,对所述请求集合中的所有请求进行解析,以根据每一所述请求方法的类型分别对应存储一请求原型;/nS4)、采用所述IAST测试工具动态监听来自所述应用程序的请求实例;/nS5)、根据正则法则,将所述步骤4中的所述请求实例分别与所述步骤3中的所...
【技术特征摘要】
1.一种基于IAST检测Web应用请求覆盖度的方法,其特征在于,包括如下步骤:
S1)、采用IAST测试工具插桩待检测应用程序所属的Web框架;
S2)、启动所述应用程序,通过所述IAST测试工具获取所述Web框架分发的请求容器,所述请求容器中包括有为所述应用程序设计的所有请求的请求集合;
S3)、所述请求集合包括有请求原型和请求方法,对所述请求集合中的所有请求进行解析,以根据每一所述请求方法的类型分别对应存储一请求原型;
S4)、采用所述IAST测试工具动态监听来自所述应用程序的请求实例;
S5)、根据正则法则,将所述步骤4中的所述请求实例分别与所述步骤3中的所述请求原型进行对应匹配,并展示匹配结果,从而得到请求覆盖度。
2.根据权利要求1所述的基于IAST检测Web应用请求覆盖度的方法,其特征在于,在所述步骤4中,通过返回的请求状态码来过滤非法请求。
3.根据权利要求1所述的基于IAST检测Web应用请求覆盖度的方法,其特征在于,所述IAST测试工具中预设有多个插桩函数,在所述步骤1中插桩所述Web框架时,将多个所述插桩函数逐个与所述Web框架匹配,从而选出与所述Web框架相适配的插桩函数。
4.根据权利要求1所述的基于IAST检测Web应用请求覆盖度的方法,其特征在于,所述Web框架包括包括spring、struts中的任一种。
5.一种基于IAST检测Web应用请求覆盖度的系统,其特征在于,包括插桩模块、请求集合获取模块、解析模块、请求实例收集模块和匹配展示模块;
所述插桩模块,用于采用IAST测试工具插桩待检测应用程序所属的Web框架;
所述请求集合获取模块,用于在所述应用程序启动时,基于所述插桩模块获取所述Web框架分发的请求容器,所...
【专利技术属性】
技术研发人员:刘海涛,万振华,王颉,李华,董燕,
申请(专利权)人:深圳开源互联网安全技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。