本发明专利技术公开了一种基于Http请求自动变形的渗透测试方法,包括以下步骤:采集原始API数据;根据预置的自动变形规则将原始API数据进行组装,以得到目标API请求;基于目标API请求通过HttpClint5对待测试系统进行渗透测试,生成渗透测试结果;对渗透测试结果进行解析,以得到解析结果数据,并根据预置的用户配置规则对解析结果数据进行汇总,生成渗透报告。本发明专利技术还公开了一种基于Http请求自动变形的渗透测试系统。本发明专利技术涉及系统测试技术领域。本发明专利技术可实现快速全面的渗透测试。明可实现快速全面的渗透测试。明可实现快速全面的渗透测试。
【技术实现步骤摘要】
一种基于Http请求自动变形的渗透测试方法及系统
[0001]本专利技术涉及系统测试
,具体而言,涉及一种基于Http请求自动变形的渗透测试方法及系统。
技术介绍
[0002]当前为了保证系统上线无安全漏洞,需要测试人员利用fillder抓包工具或者postman测试工具等对Http请求进行渗透测试,经过测试人员有计划的修改以及分析返回结果来确认系统是否安全。
[0003]但这种方式存在以下的问题:
[0004]时间成本长:每次发版都需要测试人员进行渗透测试,包括以前的Http请求也要进行重新测试,若系统一直在迭代,则渗透测试会面临滚雪球似的时间增加。
[0005]人力成本高:如遇到测试人员工作变动,则需要面临人员交接、文档交接以及新员工重新学习的问题,而如果是自动变形的渗透技术测试则不存在这种情况。
[0006]效率不高:测试人员对复杂的操作重复做效率不高也比较的浪费时间和人力。
[0007]不够全面:当公司没把研究渗透测试的规则作为资产来管理的时候,就无法对渗透测试进行持续改进、持续优化,也就不能对系统面临的潜在风险进行完全覆盖检测。那么最终给出的测试报告往往也不够全面。
技术实现思路
[0008]为了克服上述问题或者至少部分地解决上述问题,本专利技术实施例提供一种基于Http请求自动变形的渗透测试方法及系统,可实现快速全面的渗透测试。
[0009]本专利技术的实施例是这样实现的:
[0010]第一方面,本专利技术实施例提供一种基于Http请求自动变形的渗透测试方法,包括以下步骤:
[0011]采集原始API数据;
[0012]根据预置的自动变形规则将原始API数据进行组装,以得到目标API请求;
[0013]基于目标API请求通过HttpClint5对待测试系统进行渗透测试,生成渗透测试结果;
[0014]对渗透测试结果进行解析,以得到解析结果数据,并根据预置的用户配置规则对解析结果数据进行汇总,生成渗透报告。
[0015]为了解决现有技术中的系统渗透测试的时间成本长、人力成本高、效率低、不全面等技术问题,本专利技术通过解析Http请求的请求方式,请求参数等,然后通过一些规范规则自动变形组装成新的API请求,借助HttpClint5对系统进行渗透攻击,以此来实现快速的渗透测试。首先,采集原始API数据,然后根据预置的自动变形规则将原始API数据进行重新组装,以得到新的API请求,即目标API请求;然后通过HttpCl int5发起渗透测试,解析返回请求信息的状态码、响应时间等维度信息,生成渗透测试结果。然后对渗透测试结果进行解
析,以得到解析结果数据,并根据预置的用户配置规则对解析结果数据进行汇总,生成完整全面的渗透报告。
[0016]本方法实现了互联网系统正式上线前(包括项目的迭代)可以快速的根据用户配置的规则来进行渗透测试保证系统无安全漏洞,大大提高了渗透测试的效率,同时有效节约了时间和人力成本。
[0017]基于第一方面,在本专利技术的一些实施例中,上述采集原始API数据的方法包括以下步骤:
[0018]通过交换机端口镜像、Nginx和/或web端插件采集数据流量;
[0019]将数据流量进行解析,以得到原始API数据。
[0020]基于第一方面,在本专利技术的一些实施例中,上述根据预置的自动变形规则将原始API数据进行组装,以得到目标API请求的方法包括以下步骤:
[0021]录入并根据不同类型的请求设定对应的自动变形规则;
[0022]根据原始API数据的类型提取并根据对应的自动变形规则将原始API数据进行组装,以得到目标API请求。
[0023]基于第一方面,在本专利技术的一些实施例中,该基于Http请求自动变形的渗透测试方法还包括以下步骤:
[0024]将渗透报告采用一种或多种信息传输方式发送给测试监测人员。
[0025]第二方面,本专利技术实施例提供一种基于Http请求自动变形的渗透测试系统,包括数据采集模块、请求组装模块、渗透测试模块以及报告生成模块,其中:
[0026]数据采集模块,用于采集原始API数据;
[0027]请求组装模块,用于根据预置的自动变形规则将原始API数据进行组装,以得到目标API请求;
[0028]渗透测试模块,用于基于目标API请求通过HttpClint5对待测试系统进行渗透测试,生成渗透测试结果;
[0029]报告生成模块,用于对渗透测试结果进行解析,以得到解析结果数据,并根据预置的用户配置规则对解析结果数据进行汇总,生成渗透报告。
[0030]为了解决现有技术中的系统渗透测试的时间成本长、人力成本高、效率低、不全面等技术问题,本专利技术通过解析Http请求的请求方式,请求参数等,然后通过一些规范规则自动变形组装成新的API请求,借助HttpClint5对系统进行渗透攻击,以此来实现快速的渗透测试。首先,通过数据采集模块采集原始API数据,然后请求组装模块根据预置的自动变形规则将原始API数据进行重新组装,以得到新的API请求,即目标API请求;然后渗透测试模块通过HttpClint5发起渗透测试,解析返回请求信息的状态码、响应时间等维度信息,生成渗透测试结果。然后通过报告生成模块对渗透测试结果进行解析,以得到解析结果数据,并根据预置的用户配置规则对解析结果数据进行汇总,生成完整全面的渗透报告。
[0031]本系统实现了互联网系统正式上线前(包括项目的迭代)可以快速的根据用户配置的规则来进行渗透测试保证系统无安全漏洞,大大提高了渗透测试的效率,同时有效节约了时间和人力成本。
[0032]基于第二方面,在本专利技术的一些实施例中,上述数据采集模块包括流量采集子模块和流量解析子模块,其中:
[0033]流量采集子模块,用于通过交换机端口镜像、Nginx和/或web端插件采集数据流量;
[0034]流量解析子模块,用于将数据流量进行解析,以得到原始API数据。
[0035]基于第二方面,在本专利技术的一些实施例中,上述请求组装模块包括规则设定子模块和组装子模块,其中:
[0036]规则设定子模块,用于录入并根据不同类型的请求设定对应的自动变形规则;
[0037]组装子模块,用于根据原始API数据的类型提取并根据对应的自动变形规则将原始API数据进行组装,以得到目标API请求。
[0038]基于第二方面,在本专利技术的一些实施例中,该基于Http请求自动变形的渗透测试系统还包括通知模块,用于将渗透报告采用一种或多种信息传输方式发送给测试监测人员。
[0039]第三方面,本申请实施例提供一种电子设备,其包括存储器,用于存储一个或多个程序;处理器。当一个或多个程序被处理器执行时,实现如上述第一方面中任一项的方法。
[0040]第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述第一方面本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于Http请求自动变形的渗透测试方法,其特征在于,包括以下步骤:采集原始API数据;根据预置的自动变形规则将原始API数据进行组装,以得到目标API请求;基于目标API请求通过HttpClint5对待测试系统进行渗透测试,生成渗透测试结果;对渗透测试结果进行解析,以得到解析结果数据,并根据预置的用户配置规则对解析结果数据进行汇总,生成渗透报告。2.根据权利要求1所述的一种基于Http请求自动变形的渗透测试方法,其特征在于,所述采集原始API数据的方法包括以下步骤:通过交换机端口镜像、Nginx和/或web端插件采集数据流量;将数据流量进行解析,以得到原始API数据。3.根据权利要求1所述的一种基于Http请求自动变形的渗透测试方法,其特征在于,所述根据预置的自动变形规则将原始API数据进行组装,以得到目标API请求的方法包括以下步骤:录入并根据不同类型的请求设定对应的自动变形规则;根据原始API数据的类型提取并根据对应的自动变形规则将原始API数据进行组装,以得到目标API请求。4.根据权利要求1所述的一种基于Http请求自动变形的渗透测试方法,其特征在于,还包括以下步骤:将渗透报告采用一种或多种信息传输方式发送给测试监测人员。5.一种基于Http请求自动变形的渗透测试系统,其特征在于,包括数据采集模块、请求组装模块、渗透测试模块以及报告生成模块,其中:数据采集模块,用于采集原始API数据;请求组装模块,用于根据预置的自动变形规则将原始API数据进行组装,以得到目标API请求;渗透测试模块,用于基于...
【专利技术属性】
技术研发人员:唐更新,王小伟,宋辉,赵卫国,
申请(专利权)人:北京中安星云软件技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。