本公开提供一种后台接口数据访问安全测试方法和装置。后台接口数据访问安全测试装置根据每个后台接口的访问权限,配置不同权限与接口标识、请求参数、鉴权参数和测试断言之间的映射关系;编写测试用例集,针对每个测试用例获取与对应后台接口的权限相关联的请求参数、鉴权参数和测试断言之间的映射关系;针对每个测试用例,将对应的请求参数、鉴权参数发送给对应接口;获取对应接口的返回值;利用对应的测试断言对返回值进行比对处理;若比对结果一致,则确定对应测试用例通过测试。本公开通过对后台接口进行数据访问安全测试,能够更好地为WEB应用的安全与质量保驾护航。好地为WEB应用的安全与质量保驾护航。好地为WEB应用的安全与质量保驾护航。
【技术实现步骤摘要】
后台接口数据访问安全测试方法和装置
[0001]本公开涉及安全领域,特别涉及一种后台接口数据访问安全测试方法和装置。
技术介绍
[0002]目前,基于WEB应用的数据访问安全控制策略大多是基于前端页面进行限制,通过不同用户/角色的权限,来控制数据接口的访问。其中在实施前,通常基于前端页面的权限进行验证测试,而并不会对前端调用的后台接口进行权限相关测试。
技术实现思路
[0003]专利技术人通过研究发现,在相关技术中,前端调用的后台接口往往没有相应的数据访问控制策略,如果用户绕过前端页面而直接调用后台接口,则可轻而易举地存取未经授权的数据。因此,对于WEB应用前端调用的后台接口的数据访问安全控制策略的测试显得尤为重要。
[0004]据此,本公开提供一种后台接口数据访问安全测试方案,通过对后台接口进行数据访问安全测试,能够更好地为WEB应用的安全与质量保驾护航。
[0005]根据本公开实施例的第一方面,提供一种后台接口数据访问安全测试方法,包括:根据每个后台接口的访问权限,配置不同权限与接口标识、请求参数、鉴权参数和测试断言之间的映射关系;编写测试用例集,针对每个测试用例获取与对应后台接口的权限相关联的请求参数、鉴权参数和测试断言之间的映射关系;针对每个测试用例,将对应的请求参数、鉴权参数发送给对应接口;获取对应接口的返回值;利用对应的测试断言对所述返回值进行比对处理;若比对结果一致,则确定对应测试用例通过测试。
[0006]在一些实施例中,若比对结果不一致,则报告测试用例失败。<br/>[0007]在一些实施例中,在未能获取对应接口的返回值的情况下,则报告测试用例失败。
[0008]在一些实施例中,若未能获取与对应后台接口的权限相关联的请求参数、鉴权参数和测试断言之间的映射关系,则告测试用例失败。
[0009]根据本公开实施例的第二方面,提供一种后台接口数据访问安全测试装置,包括:配置模块,被配置为根据每个后台接口的访问权限,配置不同权限与接口标识、请求参数、鉴权参数和测试断言之间的映射关系;测试用例编写模块,被配置为编写测试用例集,针对每个测试用例获取与对应后台接口的权限相关联的请求参数、鉴权参数和测试断言之间的映射关系;发送模块,被配置为针对每个测试用例,将对应的请求参数、鉴权参数发送给对应接口;获取模块,被配置为获取对应接口的返回值;断言处理模块,被配置为利用对应的测试断言对所述返回值进行比对处理;测试模块,被配置为若比对结果一致,则确定对应测试用例通过测试。
[0010]在一些实施例中,测试模块还被配置为若比对结果不一致,则报告测试用例失败。
[0011]在一些实施例中,获取模块还被配置为在未能获取对应接口的返回值的情况下,则报告测试用例失败。
[0012]在一些实施例中,测试用例编写模块还被配置为若未能获取与对应后台接口的权限相关联的请求参数、鉴权参数和测试断言之间的映射关系,则告测试用例失败。
[0013]根据本公开实施例的第三方面,提供一种后台接口数据访问安全测试装置,包括:存储器,被配置为存储指令;处理器,耦合到存储器,处理器被配置为基于存储器存储的指令执行实现如上述任一实施例所述的方法。
[0014]根据本公开实施例的第四方面,提供一种计算机可读存储介质,其中,计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如上述任一实施例涉及的方法。
[0015]通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
[0016]构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
[0017]参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:
[0018]图1是根据本公开一个实施例的后台接口数据访问安全测试方法的流程示意图;
[0019]图2是根据本公开一个实施例的后台接口数据访问安全测试装置的结构示意图;
[0020]图3是根据本公开另一个实施例的后台接口数据访问安全测试装置的结构示意图。
[0021]应当明白,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。此外,相同或类似的参考标号表示相同或类似的构件。
具体实施方式
[0022]现在将参照附图来详细描述本公开的各种示例性实施例。对示例性实施例的描述仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。本公开可以以许多不同的形式实现,不限于这里所述的实施例。提供这些实施例是为了使本公开透彻且完整,并且向本领域技术人员充分表达本公开的范围。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、材料的组分和数值应被解释为仅仅是示例性的,而不是作为限制。
[0023]本公开中使用的“包括”或者“包含”等类似的词语意指在该词前的要素涵盖在该词后列举的要素,并不排除也涵盖其他要素的可能。
[0024]本公开使用的所有术语(包括技术术语或者科学术语)与本公开所属领域的普通技术人员理解的含义相同,除非另外特别定义。还应当理解,在诸如通用字典中定义的术语应当被解释为具有与它们在相关技术的上下文中的含义相一致的含义,而不应用理想化或极度形式化的意义来解释,除非这里明确地这样定义。
[0025]对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
[0026]图1是根据本公开一个实施例的后台接口数据访问安全测试方法的流程示意图。在一些实施例中,下面的后台接口数据访问安全测试方法步骤由后台接口数据访问安全测试装置执行。
[0027]在步骤101,根据每个后台接口的访问权限,配置不同权限与接口标识、请求参数、鉴权参数和测试断言之间的映射关系。
[0028]在步骤102,编写测试用例集,针对每个测试用例获取与对应后台接口的权限相关联的请求参数、鉴权参数和测试断言之间的映射关系。
[0029]基于每个接口按等价类方法划分出一组用户角色,对应不同的权限(即令牌TOKEN)。例如:
[0030]1、操作其他用户角色的数据,表现形式为请求参数中包含其他用户角色的数据;
[0031]2、操作不经授权、不被允许的数据,表现形式为请求参数中包含其他用户角色的数据;
[0032]3、访问其他用户角色的数据,表现形式为请求返回结果中包含其他用户角色的数据;
[0033]4、访问无权查看的数据,表现形式为请求返回结果中包含无权查看的数据。
[0034]测试用例可通过数据库表的形式进行管理维护,如下述表1所示。通过遍历每个测试用例的映射关系清单,获取对应接口的请求参数、鉴权参数以发送给对应接口,并对对应接口的返回值进行断言处理,以判定断言是否成功。
[0035]例如,相应的映射关系清单可如表1所示。
[0036][0037]表1
[0038]在本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种后台接口数据访问安全测试方法,包括:根据每个后台接口的访问权限,配置不同权限与接口标识、请求参数、鉴权参数和测试断言之间的映射关系;编写测试用例集,针对每个测试用例获取与对应后台接口的权限相关联的请求参数、鉴权参数和测试断言之间的映射关系;针对每个测试用例,将对应的请求参数、鉴权参数发送给对应接口;获取对应接口的返回值;利用对应的测试断言对所述返回值进行比对处理;若比对结果一致,则确定对应测试用例通过测试。2.根据权利要求1所述的方法,还包括:若比对结果不一致,则报告测试用例失败。3.根据权利要求1所述的方法,还包括:在未能获取对应接口的返回值的情况下,则报告测试用例失败。4.根据权利要求1所述的方法,还包括:若未能获取与对应后台接口的权限相关联的请求参数、鉴权参数和测试断言之间的映射关系,则告测试用例失败。5.一种后台接口数据访问安全测试装置,包括:配置模块,被配置为根据每个后台接口的访问权限,配置不同权限与接口标识、请求参数、鉴权参数和测试断言之间的映射关系;测试用例编写模块,被配置为编写测试用例集,针对每个测试用例获取与对应后台接口的权限相关...
【专利技术属性】
技术研发人员:沈柳依,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。