本发明专利技术属于接口检测技术领域,提供一种自动化接口检测方法、系统和计算机设备,该方法包括:实时获取各业务线的流量数据,对流量数据进行预处理;自动检测预处理后的所有流量数据,并从中提取相应关键信息,关键信息包括客户端的请求信息和服务端的响应信息;基于所提取的关键信息,实时对多条流量数据同时进行重放处理,并获取各自对应的响应信息;根据预设匹配规则,对所述响应信息进行匹配判断,以确定存在未授权漏洞的接口。本发明专利技术方法能够自动批量检测接口是否存在未授权漏洞问题,极大减少了人工工作量,减少了漏报误差,极大提高了业务系统的安全覆盖面,还能够更有效保证各接口的安全性、公司及用户信息安全性。
【技术实现步骤摘要】
一种自动化接口检测方法、系统和计算机设备
本专利技术属于接口检测
,特别适用于家政服务领域,更具体的是涉及一种自动化接口检测方法、系统和计算机设备。
技术介绍
近年来,随着人口老龄化时代及“二胎”时代的来临,对于家政服务的需求会越来越多,而各种家政业务也随之激增,用户主要通过线下或者线上家政服务系统寻找家政服务人员。其中,家政业务包括月嫂服务以及保姆服务等。现有的家政服务系统,能够为消费者提供线上预约家政服务项目,其余需求仅能够依靠经纪人或推广人电话沟通或者线上社交工具沟通。而在家政服务软件应用中,应用与服务器之间通过http接口进行数据交换处理,若接口未进行相关权限的认证,将会导致用户信息的泄露,恶意攻击者可通过接口批量获取用户信息,甚至企业竞对手也可能通过存在漏洞的接口获取用户或企业相关信息,则会给家政公司、第三方公司以及各类用户造成很不良的影响。而现有的接口未授权漏洞通常是由安全人员人工发现,再进行修复,所以存在人工经验差异、业务覆盖面不全、效率低、发现不及时等问题,还会影响漏洞的及时修复,影响公司及用户信息安全性。因此,有必要提供一种自动化接口检测方法,以解决上述问题。
技术实现思路
(一)要解决的技术问题本专利技术旨在解决接口检测覆盖面不全、效率低、发现不及时,无法实现批量检测,人工工作量大,影响漏洞的及时修复,影响公司及用户信息安全性等技术问题。(二)技术方案为解决上述技术问题,本专利技术的一方面提出了一种自动化接口检测方法,其用于自动批量检测接口未授权漏洞,所述方法包括:实时获取各业务线的流量数据,对所述流量数据进行预处理;自动检测预处理后的所有流量数据,并从中提取相应关键信息,所述关键信息包括客户端的请求信息和服务端的响应信息;基于所提取的关键信息,实时对多条流量数据同时进行重放处理,并获取各自对应的响应信息;根据预设匹配规则,对所述响应信息进行匹配判断,以确定存在未授权漏洞的接口。根据本专利技术的优选实施方式,实时对多条流量数据同时进行重放处理包括:根据从各条流量数据所提取的请求信息中的域名、请求接口和请求参数,重新执行各条流量数据对应的请求过程。根据本专利技术的优选实施方式,还包括:设定匹配规则,该匹配规则包括第一匹配规则和第二匹配规则,其中,所述第一匹配规则用于将通过重放处理获得的响应信息与特定匹配参数进行匹配;所述第二匹配规则用于将通过重放处理获得的响应信息与对应流量数据中的实际响应信息进行匹配。根据本专利技术的优选实施方式,所述特定匹配参数包括URL、身份证号、手机号、姓名和住址。根据本专利技术的优选实施方式,使用所述第一匹配规则进行判断以确定当前接口是否是存在未授权漏洞的接口包括:在判断通过重放处理获得的响应信息包含至少一个特定匹配参数的情况下,确定当前接口存在未授权漏洞。根据本专利技术的优选实施方式,使用第二判断规则进行判断以确定当前接口是否是存在未授权漏洞的接口包括:在判断通过重放处理获得的响应信息与流量数据中的实际响应信息相同的情况下,对当前接口进行进一步接口参数判断,以确定该当前接口存在未授权漏洞;在判断通过重放处理获得的响应信息与流量数据中的实际响应信息不相同的情况下,确定该当前接口不存在未授权漏洞。根据本专利技术的优选实施方式,还包括:将所确定的存在未授权漏洞的接口及其相关信息数据进行记录存储,并向相关业务人员推送警报信息;所述业务人员对相应接口增加检测认证处理。根据本专利技术的优选实施方式,所述自动对所述流量数据进行预处理包括:自动对批量的流量数据进行过滤、去重和/或数据格式化处理,从所述批量的流量数据选出待检测流量数据。本专利技术第二方面提出一种自动化接口检测系统,其用于自动批量检测接口未授权漏洞,所述系统包括:预处理模块,用于实时获取各业务线的流量数据,对所述流量数据进行预处理;检测模块,用于自动检测预处理后的所有流量数据,并从中提取相应关键信息,所述关键信息包括客户端的请求信息和服务端的响应信息;重放处理模块,基于所提取的关键信息,实时对多条流量数据同时进行重放处理,并获取各自对应的响应信息;判断模块,根据预设匹配规则,对所述响应信息进行匹配判断,以确定存在未授权漏洞的接口。根据本专利技术的优选实施方式,包括:根据从各条流量数据所提取的请求信息中的域名、请求接口和请求参数,重新执行各条流量数据对应的请求过程。根据本专利技术的优选实施方式,还包括设定模块,所述设定模块用于设定匹配规则,该匹配规则包括第一匹配规则和第二匹配规则,其中,所述第一匹配规则用于将通过重放处理获得的响应信息与特定匹配参数进行匹配;所述第二匹配规则用于将通过重放处理获得的响应信息与对应流量数据中的实际响应信息进行匹配。根据本专利技术的优选实施方式,所述特定匹配参数包括URL、身份证号、手机号、姓名和住址。根据本专利技术的优选实施方式,所述判断模块包括:在判断通过重放处理获得的响应信息包含至少一个特定匹配参数的情况下,确定当前接口存在未授权漏洞。根据本专利技术的优选实施方式,所述判断模块还包括:在判断通过重放处理获得的响应信息与流量数据中的实际响应信息相同的情况下,对当前接口进行进一步接口参数判断,以确定该当前接口存在未授权漏洞;在判断通过重放处理获得的响应信息与流量数据中的实际响应信息不相同的情况下,确定该当前接口不存在未授权漏洞。根据本专利技术的优选实施方式,还包括记录存储模块,所述记录存储模块用于将所确定的存在未授权漏洞的接口及其相关信息数据进行记录存储,并向相关业务人员推送警报信息;所述业务人员对相应接口增加检测认证处理。根据本专利技术的优选实施方式,所述自动对所述流量数据进行预处理包括:自动对批量的流量数据进行过滤、去重和/或数据格式化处理,从所述批量的流量数据选出待检测流量数据。本专利技术第三方面提出一种计算机设备,其中,该计算机设备包括:处理器;以及,存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行本专利技术的自动化接口检测方法。本专利技术第四方面提出一种计算机程序产品,其中,所述计算机程序产品存储一个或多个程序,所述一个或多个程序当被处理器执行时,实现本专利技术的的自动化接口检测方法。(三)有益效果与现有技术相比,本专利技术通过预设判断规则,能够自动批量检测接口是否存在未授权漏洞问题,能够更有效地进行判断,还能够有效避免恶意攻击者通过问题接口批量获取用户信息等的问题;能够极大减少人工工作量,还能够减少漏报误差,能够极大提高业务系统的安全覆盖面,还能够更有效保证各接口的安全性、公司及用户信息安全性。附图说明图1是本专利技术的实施例1的自动化接口检测方法的一示例的流程图。图2是本专利技术的实施例1的自动化接口检测方法的另一示例的流程图。图3是本专利技术的实施例1的自动化接口检测方法的又一示例的流程图。图4是本专利技术的实施例2的自动化接口检测系统的一示例的示意图。图5是本专利技术的实施例2的自动化接口检测系统的另一示例的示意图;...
【技术保护点】
1.一种自动化接口检测方法,其用于自动批量检测接口未授权漏洞,其特征在于,所述方法包括:/n实时获取各业务线的流量数据,对所述流量数据进行预处理;/n自动检测预处理后的所有流量数据,并从中提取相应关键信息,所述关键信息包括客户端的请求信息和服务端的响应信息;/n基于所提取的关键信息,实时对多条流量数据同时进行重放处理,并获取各自对应的响应信息;/n根据预设匹配规则,对所述响应信息进行匹配判断,以确定存在未授权漏洞的接口。/n
【技术特征摘要】
1.一种自动化接口检测方法,其用于自动批量检测接口未授权漏洞,其特征在于,所述方法包括:
实时获取各业务线的流量数据,对所述流量数据进行预处理;
自动检测预处理后的所有流量数据,并从中提取相应关键信息,所述关键信息包括客户端的请求信息和服务端的响应信息;
基于所提取的关键信息,实时对多条流量数据同时进行重放处理,并获取各自对应的响应信息;
根据预设匹配规则,对所述响应信息进行匹配判断,以确定存在未授权漏洞的接口。
2.根据权利要求1所述的自动化接口检测方法,其特征在于,实时对多条流量数据同时进行重放处理包括:
根据从各条流量数据所提取的请求信息中的域名、请求接口和请求参数,重新执行各条流量数据对应的请求过程。
3.根据权利要求1或2所述的自动化接口检测方法,其特征在于,还包括:
设定匹配规则,该匹配规则包括第一匹配规则和第二匹配规则,其中,
所述第一匹配规则用于将通过重放处理获得的响应信息与特定匹配参数进行匹配;
所述第二匹配规则用于将通过重放处理获得的响应信息与对应流量数据中的实际响应信息进行匹配。
4.根据权利要求3所述的自动化接口检测方法,其特征在于,所述特定匹配参数包括URL、身份证号、手机号、姓名和住址。
5.根据权利要求4所述的自动化接口检测方法,其特征在于,使用所述第一匹配规则进行判断以确定当前接口是否是存在未授权漏洞的接口包括:
在判断通过重放处理获得的响应信息包含至少一个特定匹配参数的情况下,确定当前接口存在未授权漏洞。
6.根据权利要求3所述的自动化接口检测方法,其特征在于,使用第二判断规则进行判断以确定当前接口是否是存在未授权漏洞的接口包括:
在判断通过重放处理获得的响应信息与流量数据中的实际响应信息相同的情况下,对当前接口进行进一步接口参数判断,以确定该当前接口存在未授权漏洞;
在判断通过重放处理获得的响应信息与流量数据中的实际响应信息不相同的情况下,确定该当前接口不存在未授权漏洞。
7.根据权利要求1所述的自动化接口检测方法,其特征在于,还包括:
将所确定的存在未授权漏洞的接口及其相关信息数据进行记录存储,并向相关业务人员推送警报信息;
所述业务人员对相应接口增加检测认证处理。
8.根据权利要求1所述的自动化接口检测方法,其特征在于,所述自动对所述流量数据进行预处理包括:
自动对批量的流量数据进行过滤、去重和/或数据格式化处理,从所述批量的流量数据选出待检测流量数据。
9.一种自动化接口检测系统,其用于自动批量检测接口未授权漏洞,其特征在于,所述系统包括:
预处理模块,用于实时获取各业务线的流量数据,对所述流量数据进行预处理;
...
【专利技术属性】
技术研发人员:武晓虎,
申请(专利权)人:长沙市到家悠享网络科技有限公司,
类型:发明
国别省市:湖南;43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。