本发明专利技术公开了一种系统测试方法、装置、设备及存储介质。该方法包括:获取所有待测试用户登录待测试系统时生成的身份验证数据;根据各所述身份验证数据,形成各所述待测试用户的测试身份数据集;控制各所述待测试用户根据对应测试身份数据集中的测试身份数据执行访问测试操作,得到访问结果集;当所述访问结果集包含成功访问的访问结果时,确定所述待测试系统存在越权访问风险。本发明专利技术可以有效检测待测试系统的用户登录安全性。试系统的用户登录安全性。试系统的用户登录安全性。
【技术实现步骤摘要】
一种系统测试方法、装置、设备及存储介质
[0001]本专利技术实施例涉及软件测试
,尤其涉及一种系统测试方法、装置、设备及存储介质。
技术介绍
[0002]随着互联网技术的发展,人们在日常生活的各个场景都会使用不同的应用系统,目前应用系统普遍为前后端分离,前端使用vue、React、angular等技术,后端提供接口,这使前后端角色分工更明确,对系统项目的研发质量提供了更好的保障。
[0003]一般情况下,应用系统的一个前端对应多个后端,每个后端都提供一个访问接口,在用户访问系统的过程中,进入后端的访问接口时会进行登录验证,验证通过后将有效cookie返回给用户。
[0004]在一些领域中,安全问题极为重要,例如银行等金融业务的操作过程,使用的系统是否安全是人们关注的一个重点。如果某些用户在使用银行系统的过程中,非法获取其他用户的有效cookie进行系统访问,可能会造成严重的经济损失,因此,对系统使用过程中的用户安全访问进行检测是必不可少的。
技术实现思路
[0005]本专利技术提供一种系统测试方法、装置、设备及存储介质,以实现有效检测待测试系统的用户登录安全性。
[0006]第一方面,本专利技术实施例提供了一种系统测试方法,包括:
[0007]获取所有待测试用户登录待测试系统时生成的身份验证数据;
[0008]根据各所述身份验证数据,形成各所述待测试用户的测试身份数据集;
[0009]控制各所述待测试用户根据对应测试身份数据集中的测试身份数据执行访问测试操作,得到访问结果集;
[0010]当所述访问结果集包含成功访问的访问结果时,确定所述待测试系统存在越权访问风险。
[0011]可选的,所述根据各所述身份验证数据,形成各所述待测试用户的测试身份数据集,包括:
[0012]从各所述待测试用户中选取一个目标用户,将除所述目标用户外的其他待测试用户作为候选用户;
[0013]依次基于所述候选用户的身份验证数据参数化所述目标用户的身份验证数据,生成对应的测试身份数据,形成目标用户的测试身份数据集;
[0014]返回重新选取目标用户,直至各所述待测试用户全部被选取。
[0015]可选的,所述控制各所述待测试用户根据对应测试身份数据集中的测试身份数据执行访问测试操作,得到访问结果集,包括:
[0016]针对每个待测试用户,从所述待测试用户对应的测试身份数据集中选取一个目标
测试身份数据;
[0017]控制所述待测试用户基于所述目标测试身份数据访问所述待测试系统,得到访问结果,并将所述访问结果添加至访问结果集;
[0018]返回重新选取目标测试身份数据,直至所述待测试用户对应的测试身份数据集中的测试身份数据全部被选取。
[0019]可选的,在获取所有待测试用户登录待测试系统时生成的身份验证数据之后,还包括:
[0020]将各所述身份验证数据设置成所述待测试系统的环境变量。
[0021]可选的,在确定所述待测试系统存在越权访问风险之后,还包括:
[0022]根据访问结果为成功访问的访问测试操作,确定所述待测试系统存在的越权访问类别。
[0023]可选的,所述根据访问结果为成功访问的访问测试操作,确定所述待测试系统存在的越权访问类别,包括:
[0024]确定访问结果为成功访问的访问测试操作为越权访问操作,所述越权访问操作对应的待测试用户为越权访问用户;
[0025]将所述越权访问用户执行越权访问操作时使用的测试身份数据确定为越权身份数据,生成所述越权身份数据的身份验证数据对应的待测试用户确定为信息泄露用户;
[0026]根据所述越权访问用户和所述信息泄露用户的用户权限等级,确定所述待测试系统存在的越权访问类别。
[0027]可选的,在确定所述待测试系统存在的越权访问类别之后,还包括:
[0028]根据所述待测试系统存在的越权访问类别,进行相应的报警提示。
[0029]第二方面,本专利技术实施例还提供了一种系统测试装置,该装置包括:
[0030]身份验证数据获取模块,用于获取所有待测试用户登录待测试系统时生成的身份验证数据;
[0031]测试身份数据生成模块,用于根据各所述身份验证数据,形成各所述待测试用户的测试身份数据集;
[0032]访问测试操作执行模块,用于控制各所述待测试用户根据对应测试身份数据集中的测试身份数据执行访问测试操作,得到访问结果集;
[0033]越权访问风险判断模块,用于当所述访问结果集包含成功访问的访问结果时,确定所述待测试系统存在越权访问风险。
[0034]第三方面,本专利技术实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如本专利技术任意实施例所述的系统测试方法。
[0035]第四方面,本专利技术实施例还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如本专利技术任意实施例所述的系统测试方法。
[0036]本专利技术通过获取所有待测试用户登录待测试系统时生成的身份验证数据;根据各身份验证数据,形成各待测试用户的测试身份数据集;控制各待测试用户根据对应测试身份数据集中的测试身份数据执行访问测试操作,得到访问结果集;当访问结果集包含成功
访问的访问结果时,确定待测试系统存在越权访问风险,有效检测待测试系统的用户登录安全性。
附图说明
[0037]图1是本专利技术实施例一提供的一种系统测试方法的流程图;
[0038]图2是本专利技术实施例二提供的一种系统测试装置的结构框图;
[0039]图3是本专利技术实施例三提供的一种计算机设备的结构框图。
具体实施方式
[0040]下面结合附图和实施例对本专利技术作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本专利技术,而非对本专利技术的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本专利技术相关的部分而非全部结构,此外,在不冲突的情况下,本专利技术中的实施例及实施例中的特征可以相互组合。
[0041]实施例一
[0042]图1为本专利技术实施例一提供的一种系统测试方法的流程图,本实施例可适用于检测待测试系统的用户登录安全性的情况,该方法可以由系统测试装置来执行,该装置可以通过软件和/或硬件实现。
[0043]如图1所示,该方法具体包括如下步骤:
[0044]步骤110、获取所有待测试用户登录待测试系统时生成的身份验证数据。
[0045]其中,待测试系统可以是任意需要用户登录验证的应用系统。身份验证数据可以是用户登录待测试系统时生成的小型文本文件cookie数据。
[0046]在本实施例中,可以选择待测试系统的全部注册用户都作为待测试用户进行系统安全性测试。具体的,可以依次控制待测试用户登录待测试系统,待测试用户通过待测试系统的身份验证后本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种系统测试方法,其特征在于,包括:获取所有待测试用户登录待测试系统时生成的身份验证数据;根据各所述身份验证数据,形成各所述待测试用户的测试身份数据集;控制各所述待测试用户根据对应测试身份数据集中的测试身份数据执行访问测试操作,得到访问结果集;当所述访问结果集包含成功访问的访问结果时,确定所述待测试系统存在越权访问风险。2.根据权利要求1所述的系统测试方法,其特征在于,所述根据各所述身份验证数据,形成各所述待测试用户的测试身份数据集,包括:从各所述待测试用户中选取一个目标用户,将除所述目标用户外的其他待测试用户作为候选用户;依次基于所述候选用户的身份验证数据参数化所述目标用户的身份验证数据,生成对应的测试身份数据,形成目标用户的测试身份数据集;返回重新选取目标用户,直至各所述待测试用户全部被选取。3.根据权利要求1所述的系统测试方法,其特征在于,所述控制各所述待测试用户根据对应测试身份数据集中的测试身份数据执行访问测试操作,得到访问结果集,包括:针对每个待测试用户,从所述待测试用户对应的测试身份数据集中选取一个目标测试身份数据;控制所述待测试用户基于所述目标测试身份数据访问所述待测试系统,得到访问结果,并将所述访问结果添加至访问结果集;返回重新选取目标测试身份数据,直至所述待测试用户对应的测试身份数据集中的测试身份数据全部被选取。4.根据权利要求1所述的系统测试方法,其特征在于,在获取所有待测试用户登录待测试系统时生成的身份验证数据之后,还包括:将各所述身份验证数据设置成所述待测试系统的环境变量。5.根据权利要求1所述的系统测试方法,其特征在于,在确定所述待测试系统存在越权访问风险之后,还包括:根据访问结果为成功访问的访问测试操作,确定所述待测试系统...
【专利技术属性】
技术研发人员:张少辉,
申请(专利权)人:中国农业银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。