本发明专利技术涉及信息安全领域的一种应用程序的测试方法、系统及装置,测试方法包括:生成具有测试标识的测试信息,所述测试标识用于在被所述应用程序识别到时,禁止所述应用程序保存所述测试信息;向所述应用程序发送所述测试信息,使所述应用程序识别所述测试标识,并根据所述测试信息进行漏洞检测。这种应用程序的测试方法、系统及装置能保证对漏洞的测试数据不影响除漏洞测试以外的其他检测的状态与结果,并且不会占用应用程序的空间,也不会影响应用程序的存储区原有的数据。
【技术实现步骤摘要】
应用程序的测试方法、系统及装置
本专利技术涉及信息安全的测试
,具体涉及一种应用程序的测试方法、系统及装置。
技术介绍
目前,随着科技的发展以及人们需求的扩展,应用程序越来越多,然而应用程序不可避免地会产生漏洞,可以通过对应用程序进行测试以检测是否存在漏洞。然而,现有技术中对应用程序进行测试时会使测试时用到的数据写入应用程序的存储区,不仅占用空间,还会影响存储区原有的数据,并影响除漏洞测试外的其他的检测的正常运行。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的应用程序的测试方法、系统及装置。根据本专利技术的第一个方面,提供了一种应用程序的测试方法,包括:生成具有测试标识的测试信息,所述测试标识用于在被所述应用程序识别到时,禁止所述应用程序保存所述测试信息;向所述应用程序发送所述测试信息,使所述应用程序识别所述测试标识,并根据所述测试信息进行漏洞检测。可选地,生成具有测试标识的测试信息包括:获取所述应用程序的资产数据;将所述资产数据代入数据库,以生成与所述资产数据对应的所述测试信息,其中,所述数据库内预存有不同的资产数据与不同的测试信息间的对应关系。可选地,所述资产数据包括所述应用程序的业务报文、所使用的第三方框架、所部署的容器以及所部署的中间件中至少一种。可选地,所述测试方法还包括:在所述应用程序识别到所述测试标识后,将所述测试标识存入所述应用程序的HTTP请求入口函数的线程共享变量中。可选地,所述测试方法还包括:判断所述应用程序的漏洞检测函数是否会在未经安全处理的用户命令下执行;若所述漏洞检测函数会在未经安全处理的用户命令下执行,则发出输出警告的信号。可选地,所述漏洞检测函数包括数据库操作代码、命令执行函数、文件读写函数、表达式执行函数以及反序列函数中至少一种。可选地,所述安全处理包括过滤以及转义中至少一种。可选地,所述未经安全处理的用户命令包括:从所述应用程序的HTTP请求入口函数到执行之间的过程未经所述安全处理的用户命令。根据本专利技术的第二个方面,还提供了一种应用程序的测试系统,包括计算机可读存储介质、处理器和存储在所述计算机可读存储介质上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现上述任一所述的测试方法。根据本专利技术的第三个方面,还提供了一种应用程序的测试装置,包括:生成模块,用于生成具有测试标识的测试信息,所述测试标识用于在被所述应用程序识别到时,禁止所述应用程序保存所述测试信息;测试模块,用于向所述应用程序发送所述测试信息,使所述应用程序识别所述测试标识,并根据所述测试信息进行漏洞检测。本专利技术实施例提供的这种应用程序的测试方法、测试系统及测试装置能在自动完成对漏洞的测试的同时,有效区分对漏洞的测试的数据与其他检测的数据,保证对漏洞的测试产生的数据不会真正进入被测应用程序的数据库、文件等数据存储区,能保证对漏洞的测试数据不影响除漏洞测试以外的其他检测的状态与结果,并且不会占用应用程序的空间,也不会影响应用程序的存储区原有的数据。这种应用程序的测试方法、测试系统及测试装置可以减少人工参与,可以自动对应用程序的安全漏洞进行检测。附图说明通过下文中参照附图对本专利技术所作的描述,本专利技术的其它目的和优点将显而易见,并可帮助对本专利技术有全面的理解。图1是根据本专利技术一个实施例的应用程序的测试方法的示意图;图2是根据本专利技术一个实施例的应用程序的测试方法的应用场景图;图3是根据本专利技术一个实施例的应用程序的测试方法的执行流程图;图4是根据本专利技术一个实施例的应用程序的测试系统的结构框图;图5是根据本专利技术一个实施例的应用程序的测试装置的结构框图。应该注意的是,附图并未按比例绘制,并且出于说明目的,在整个附图中类似结构或功能的元素通常用类似的附图标记来表示。还应该注意的是,附图只是为了便于描述优选实施例,而不是专利技术本身。附图没有示出所描述的实施例的每个方面,并且不限制本专利技术的范围。其中,10为应用程序的测试系统,100为计算机可读存储介质,110为程序,200为处理器,20为应用程序的测试装置,300为生成模块,400为测试模块。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例的附图,对本专利技术的技术方案进行清楚、完整地描述。显然,所描述的实施例是本专利技术的一个实施例,而不是全部的实施例。基于所描述的本专利技术的实施例,本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围。除非另外定义,本专利技术使用的技术术语或者科学术语应当为本专利技术所属领域内具有一般技能的人士所理解的通常意义。本专利技术的实施例首先提供了一种应用程序的测试方法,图1是根据本专利技术一个实施例的应用程序的测试方法的示意图,图2是根据本专利技术一个实施例的应用程序的测试方法的应用场景图。如图1所示,本专利技术的实施例的应用程序的测试方法包括:S102,生成具有测试标识的测试信息,所述测试标识用于在被所述应用程序识别到时,禁止所述应用程序保存所述测试信息。S104,向所述应用程序发送所述测试信息,使所述应用程序识别所述测试标识,并根据所述测试信息进行漏洞检测。如图2所示,其中,应用程序可以是智能终端上的应用程序,例如,手机、平板上的应用程序。且本领域的技术人员可以理解地,向所述应用程序发送所述测试信息并不表示所述应用程序的所有函数都会收到该测试信息,可以以随机的方式向应用程序的所有函数发送该测试信息。本专利技术的实施例提供的这种应用程序的测试方法能在自动完成对漏洞的测试的同时,有效区分对漏洞的测试的数据与其他检测的数据,保证对漏洞的测试产生的数据不会真正进入被测应用程序的数据库、文件等数据存储区,能保证对漏洞的测试数据不影响除漏洞测试以外的其他检测的状态与结果,并且不会占用应用程序的空间,也不会影响应用程序的存储区原有的数据。这种应用程序的测试方法、测试系统及测试装置可以减少人工参与,可以自动对应用程序的安全漏洞进行检测。生成具有测试标识的测试信息可以包括:获取所述应用程序的资产数据;将所述资产数据代入数据库,以生成与所述资产数据对应的所述测试信息,其中,所述数据库内预存有不同的资产数据与不同的测试信息间的对应关系。本领域技术人员可以理解地,数据库内预存的不同的资产数据与不同的测试信息间的对应关系可以根据应用程序历史曾经出现过的漏洞问题生成,例如,当历史数据表示第一种资产数据容易产生第一漏洞问题,则与第一种资产数据对应的第一种测试信息就表示对第一漏洞问题检测的信息,当历史数据表示第二种资产数据容易产生第二漏洞问题,则与第二种资产数据对应的第二种测试信息就表示对第二漏洞问题检测的信息等,由此,则可以建立数据库内的不同的资产数据与不同的测试信息间的对应关系。这种方法通过大数据的方式可以有效地、针对性地确定测试信息,从而提高测试的效率,以提升用本文档来自技高网...
【技术保护点】
1.一种应用程序的测试方法,包括:/n生成具有测试标识的测试信息,所述测试标识用于在被所述应用程序识别到时,禁止所述应用程序保存所述测试信息;/n向所述应用程序发送所述测试信息,使所述应用程序识别所述测试标识,并根据所述测试信息进行漏洞检测。/n
【技术特征摘要】
1.一种应用程序的测试方法,包括:
生成具有测试标识的测试信息,所述测试标识用于在被所述应用程序识别到时,禁止所述应用程序保存所述测试信息;
向所述应用程序发送所述测试信息,使所述应用程序识别所述测试标识,并根据所述测试信息进行漏洞检测。
2.根据权利要求1所述的测试方法,其中,生成具有测试标识的测试信息包括:
获取所述应用程序的资产数据;
将所述资产数据代入数据库,以生成与所述资产数据对应的所述测试信息,其中,所述数据库内预存有不同的资产数据与不同的测试信息间的对应关系。
3.根据权利要求2所述的测试方法,其中,
所述资产数据包括所述应用程序的业务报文、所使用的第三方框架、所部署的容器以及所部署的中间件中至少一种。
4.根据权利要求1至3中任一项所述的测试方法,其中,还包括:
在所述应用程序识别到所述测试标识后,将所述测试标识存入所述应用程序的HTTP请求入口函数的线程共享变量中。
5.根据权利要求1至3中任一项所述的测试方法,其中,还包括:
判断所述应用程序的漏洞检测函数是否会在未经安全处理的用户命令下执行;
...
【专利技术属性】
技术研发人员:旷亚和,叶红,姜城,刘婉娇,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。