【技术实现步骤摘要】
一种程序漏洞的测试方法以及相关装置
本申请涉及计算机
,尤其涉及一种程序漏洞的测试方法以及相关装置。
技术介绍
随着互联网技术的发展,网络安全越来越受到人们的重视,其中在程序开发过程中对于程序漏洞的检测尤为重要。一般的漏洞检测以动态调试为主,即通过逆向分析找到通信协议加密解密的代码处,通过挂接调试器或者插件注入的方式,实时获取协议发送加密前和收到解密后的数据,通过打印纠错信息的方式,输出到DebugView等工具并进行人工分析。但是,上述过程仅针对单一的应用程序,由于在大量程序的检测过程中,不同程序可能采用不同的加密方式和协议结构,采用手工逐一逆向分析的方法无法满足多种应用程序的漏洞检测,且耗时较多,影响程序漏洞检测的效率。
技术实现思路
有鉴于此,本申请第一方面提供一种漏洞测试的方法,可以应用于漏洞检测系统或游戏漏洞检测程序运行过程中,具体包括:确定满足预设条件的目标插件,所述预设条件基于所述目标插件与待测试程序的匹配信息确定;将所述目标插件注入所述待测试程序中,以获取所述...
【技术保护点】
1.一种程序漏洞的测试方法,其特征在于,包括:/n确定满足预设条件的目标插件,所述预设条件基于所述目标插件与待测试程序的匹配信息确定;/n将所述目标插件注入所述待测试程序中,以获取所述待测试程序的通信数据包;/n根据预设规则对所述通信数据包进行描述,以得到针对所述待测试程序的攻击数据,所述预设规则基于所述通信包中通信协议与目标字段的对应关系确定,所述攻击数据基于所述目标字段对应的边界值数据确定;/n根据所述攻击数据对所述待测试程序进行自动攻击,以测试得到所述待测试程序的程序漏洞。/n
【技术特征摘要】
1.一种程序漏洞的测试方法,其特征在于,包括:
确定满足预设条件的目标插件,所述预设条件基于所述目标插件与待测试程序的匹配信息确定;
将所述目标插件注入所述待测试程序中,以获取所述待测试程序的通信数据包;
根据预设规则对所述通信数据包进行描述,以得到针对所述待测试程序的攻击数据,所述预设规则基于所述通信包中通信协议与目标字段的对应关系确定,所述攻击数据基于所述目标字段对应的边界值数据确定;
根据所述攻击数据对所述待测试程序进行自动攻击,以测试得到所述待测试程序的程序漏洞。
2.根据权利要求1所述的方法,其特征在于,所述确定满足预设条件的目标插件,包括:
加载插件数据库中的多个插件;
基于所述多个插件分别尝试获取所述待测试程序的进程信息,并尝试打开所述待测试程序的进程句柄以执行注入操作;
若完成注入,则确定对应的插件为所述目标插件。
3.根据权利要求2所述的方法,其特征在于,所述确定对应的插件为所述目标插件,包括:
确定所述目标插件与所述待测试程序的版本号对应关系;
若存在对应关系,则确定对应的插件为所述目标插件。
4.根据权利要求1所述的方法,其特征在于,所述将所述目标插件注入所述待测试程序中,包括:
确定所述待测试程序的关键函数,所述关键函数包括网络发包加密函数和收包解密函数;
将所述目标插件的输入地址与所述关键函数挂钩,以将所述目标插件注入所述待测试程序中。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述根据预设规则对所述通信数据包进行描述,以得到针对所述待测试程序的攻击数据,包括:
获取所述通信数据包的协议号;
...
【专利技术属性】
技术研发人员:喻峰,董志强,宋兵,
申请(专利权)人:腾讯云计算北京有限责任公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。