【技术实现步骤摘要】
WEB应用程序的自动化安全监测方法及系统
本专利技术涉及信息安全
,特别涉及人工智能
,尤其涉及一种WEB应用程序的自动化安全监测方法及系统。
技术介绍
在高速发展的互联网业务时代,通常采用敏捷、迭代等开发方法保证开发效率,在这种快速上线快速交付的模式下,如何使用高效的测试方法保证项目中的安全测试环节,缩短项目测试周期显得尤为重要。目前对Javaweb应用进行安全测试存在多种常规方法,如使用AppScan工具进行黑盒扫描,使用sonar进行白盒检查,或使用一些渗透测试工具例如Nessus,通过篡改请求等对数据进行安全分析。上述常规安全测试方法都需要测试人员手动进行应用链接爬取以及对发起请求进行改造,但是由于发起请求改造同时可能会对系统造成某种不可逆的伤害,例如系统宕机、数据库持久化数据被删除,可能会影响到应用程序的正常功能、流程和性能测试等过程,这无疑会对测试人员造成了很大负担,测试时间大大增加。同时在对测试问题修复后,测试人员需要再次去迭代测试,测试成本大大提高。
技术实现思路
为了解决以上...
【技术保护点】
1.一种WEB应用程序的自动化安全监测方法,其特征在于,包括:/n根据预设应用程序登陆信息通过浏览器登陆界面链接至应用程序服务器;/n通过预设攻击检测信息对所述应用程序服务器进行攻击测试,并获取攻击测试时浏览器和应用程序服务器的运行数据;/n根据所述运行数据对所述应用程序服务器进行安全诊断得到诊断结果。/n
【技术特征摘要】
1.一种WEB应用程序的自动化安全监测方法,其特征在于,包括:
根据预设应用程序登陆信息通过浏览器登陆界面链接至应用程序服务器;
通过预设攻击检测信息对所述应用程序服务器进行攻击测试,并获取攻击测试时浏览器和应用程序服务器的运行数据;
根据所述运行数据对所述应用程序服务器进行安全诊断得到诊断结果。
2.根据权利要求1所述的WEB应用程序的自动化安全监测方法,其特征在于,进一步包括:
通过预设至少一种诊断误报判断模型对所述诊断结果进行误报判断,得到所述诊断结果是否为误报的判断结果。
3.根据权利要求1所述的WEB应用程序的自动化安全监测方法,其特征在于,进一步包括:
根据所述诊断结果确定所述应用程序是否为安全;
若否,根据所述诊断结果确定漏洞类型,根据所述漏洞类型在预设的漏洞解决方案集中匹配对应的漏洞解决方案;
根据所述漏洞解决方案对所述应用程序进行漏洞修正。
4.根据权利要求1所述的WEB应用程序的自动化安全监测方法,其特征在于,所述根据预设应用程序登陆信息通过浏览器登陆界面链接至应用程序服务器具体包括:
根据预设应用程序登陆信息得到应用程序信息及对应的用户登陆验证信息、登陆控件信息和应用程序登陆界面信息;
根据所述应用程序登陆界面信息访问应用程序登陆界面;
根据登陆控件信息将用户登陆验证信息输入登陆控件以将所述用户登陆验证信息传输至应用服务器进行登陆验证,若登陆验证成功,应用程序服务器与浏览器建立连接。
5.根据权利要求1所述的WEB应用程序的自动化安全监测方法,其特征在于,所述获取攻击测试时浏览器的运行数据具体包括:
当攻击测试时,通过数据爬虫技术爬取应用程序的前台链接和动态ajax页面得到基础运行数据;
通过预设在应用程序服务器中的代理程序获取应用程序服务器的流量传输数据得到流量补充数据;
根据所述基础运行数据和所述流量补充数据得到所述运行数据。
6.根据权利要求1所述的WEB应用程序的自动化安全监测方法,其特征在于,所述根据所述运行数据对所述应用程序服务器进行安全诊断得到诊断结果具体包括:
对所述运行数据序列化;
采用TCP网络通讯方式,对序列化后的运行数据进行反序列化;
通过预设至少一个数据分析模型对反序列化后的数据进行检测得到诊断结果。
7.一种WEB应用程序的自动化安全监测系统,其特征在于,包括:
自动登陆模块,用于根据...
【专利技术属性】
技术研发人员:郭雷娟,杨卓俊,黄俊文,童雅琴,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。