一种漏洞测试方法、装置、电子设备及存储介质制造方法及图纸

本发明专利技术提供一种漏洞测试方法及相关装置，方法包括：获取待转换POC代码，并根据预设字段在待转换POC代码中查找输出语句；利用符号执行方式将待转换POC代码转换为执行树，并在执行树中查找到达输出语句的路径；在待转换POC代码中查找路径对应的执行语句，并根据执行顺序对执行语句进行格式转换得到POC文件；对POC文件进行语言转换得到目标语言的目标POC代码，并利用目标POC代码进行漏洞检测；可利用符号执行方式高效解析待转换POC代码中的逻辑，确定到达输出语句的执行语句，并对该语句进行格式转换，得到统一的POC文件，进而便可利用该文件高效地进行代码语言转换，可实现将待转换POC代码高效转换至目标语言。POC代码高效转换至目标语言。POC代码高效转换至目标语言。

【技术实现步骤摘要】
一种漏洞测试方法、装置、电子设备及存储介质


[0001]本专利技术涉及软件测试领域，特别涉及一种漏洞测试方法、装置、电子设备及存储介质。

技术介绍

[0002]POC测试(Proof of Concept)是业界流行的针对客户具体应用的验证性测试。目前POC测试主要利用漏洞测试框架执行POC代码来进行。然而，漏洞测试框架通常基于某种开发语言进行开发，即POC代码使用该种开发语言进行编写，若需要将该代码迁移至其他框架，则需要进行重新编写，难以高效地进行POC代码迁移。

技术实现思路

[0003]本专利技术的目的是提供一种漏洞测试方法、装置、电子设备及存储介质，可对待转换POC代码中的执行逻辑进行高效解析，确定到达输出语句的执行语句，并对该语句进行代码语言转换，可实现将待转换POC代码高效转换至目标语言。
[0004]为解决上述技术问题，本专利技术提供一种漏洞测试方法，包括：
[0005]获取待转换POC代码，并根据预设字段在所述待转换POC代码中查找输出语句；
[0006]利用符号执行方式将所述待转换POC本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种漏洞测试方法，其特征在于，包括：获取待转换POC代码，并根据预设字段在所述待转换POC代码中查找输出语句；利用符号执行方式将所述待转换POC代码转换为执行树，并在所述执行树中查找到达所述输出语句的路径；在所述待转换POC代码中查找所述路径对应的执行语句，并根据执行顺序对所述执行语句进行格式转换得到POC文件；对所述POC文件进行语言转换得到目标语言的目标POC代码，并利用所述目标POC代码进行漏洞检测。2.根据权利要求1所述的漏洞测试方法，其特征在于，所述根据执行顺序对所述执行语句进行格式转换得到POC文件，包括：获取JSON格式的预设POC文件模板和预设匹配对象模板；根据所述执行顺序，将首个所述执行语句设置为待处理语句，并确定所述待处理语句的类型；若所述待处理语句为HTTP请求方法调用语句，则提取所述待处理语句中的请求信息字段，并将所述目标字段填写至所述POC文件模板中的对应位置；所述请求信息字段包括请求方法字段、URL字段、请求头字段和请求体字段；若所述待处理语句为条件语句，则提取所述条件语句中的待转换表达式及响应对象，根据所述待转换表达式的类型利用所述预设匹配对象模板将所述待转换表达式转换为所述响应对象的匹配对象条目，并将所述匹配对象条目写入所述POC文件模板的对应位置；所述匹配对象条目包括关系型匹配对象条目和逻辑型匹配对象条目；判断所述待处理语句是否为所述执行语句中的最后一条语句；若是，则将完成写入的预设POC文件模板设置为所述POC文件；若否，则根据所述执行顺序，将下一所述执行语句设置为所述待处理语句，并进入所述确定所述待处理语句的类型的步骤。3.根据权利要求2所述的漏洞测试方法，其特征在于，所述根据所述待转换表达式的类型利用所述预设匹配对象模板将所述待转换表达式转换为所述响应对象的匹配对象条目，包括：确定所述待转换表达式的类型；若所述待转换表达式为关系表达式，则提取所述待转换表达式中的匹配信息字段，将所述匹配信息字段写入所述预设匹配对象模板中的对应位置得到第一匹配条目，并将所述第一匹配条目设置为所述关系型匹配对象条目；所述匹配信息字段包括响应目标字段、响应目标属性字段、匹配方式字段及参数值字段；若所述待转换表达式为包含两个所述关系表达式的逻辑表达式，则提取所述待转换表达式中的逻辑运算符，为所述待转换表达式中的关系表达式生成所述第一匹配条目并设置为子匹配条目，将所述逻辑运算符和所述子匹配条目写入所述预设匹配对象模板中的对应位置得到第二匹配条目，并将所述第二匹配条目设置为所述逻辑型匹配对象条目。4.根据权利要求3所述的漏洞测试方法，其特征在于，所述对所述POC文件进行语言转换得到目标语言的目标POC代码，包括：根据所述POC文件中的请求方法字段，查找所述目标语言对应的HTTP请求函数，并将所
述URL字段、所述请求头字段和所述请求体字段写入所述HTTP请求函数中对应的实参位置，得到初始接口请求语句；将所述初始接口请求语句与所述响应对象建立对应关系，得到目标接口请求语句；确定所述POC文件中的待转换匹配对象条目的类型；若所述待转换匹配对象条目为所述关系型匹配对象条目，则根据所述待转换匹配对象条目中的响应目标查找目标语言中对应的预设语句模板，将所述响应对象、所述响应目标属性、所述匹配方式及所述参数值写入所述预设语句模板中得到第一目标表达式，并利用所述第一目标表达式生成目标条件语句；若所述待转换匹配对象条目为所述逻辑型匹配对象条目，则为所述待转换匹配对象条目中的子匹配条目生成所述第一目标表达式并设置为子表达式，根据所述待转换匹配对象条目中...

【专利技术属性】
技术研发人员：杨珍，范渊，吴卓群，王欣，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：