一种API渗透测试方法、系统、电子设备及存储介质技术方案

本发明专利技术公开了一种API渗透测试方法、系统、电子设备及存储介质，所述方法包括如下步骤：获取整理好的业务逻辑数据；获取整理好的接口文档数据；根据业务逻辑数据检查并获取业务逻辑上存在的逻辑漏洞；根据接口文档数据检查并获取接口文档中存在的接口漏洞；根据获取的逻辑漏洞和接口漏洞进行渗透测试，该种API渗透测试方法，通过多个角度对任务计划的业务逻辑和接口数据进行渗透性测试，确保每个业务逻辑功能或者接口数据均得到有效的测试，从而获取软件存在的漏洞，通过后期针对漏洞来完善该软件，以此获得更加稳定和安全的软件。以此获得更加稳定和安全的软件。以此获得更加稳定和安全的软件。

【技术实现步骤摘要】
一种API渗透测试方法、系统、电子设备及存储介质


[0001]本专利技术涉及数据安全
，具体涉及一种API渗透测试方法、系统、电子设备及存储介质。

技术介绍

[0002]任务计划3.0版本软件主要负责对跟踪计划进行展示和设置跟踪、对卫星测站天线进行编辑管理、对任务值班人员进行排班设计、对所跟踪计划进行倒计时统计、对用户申请进行审核、统计所跟踪的圈次以及系统日志的展示等多个功能，但是目前对于任务计划软件的数据稳定性和安全性还不能保证，一旦出现数据泄露或者丢失将会导致严重的后果，因此需要针对该软件进行测试，以确保该软件获得足够的安全性，但是目前一般的测试方法均无法满足测试要求。

技术实现思路

[0003]本专利技术的目的在于提供一种API渗透测试方法、系统、电子设备及存储介质，以解决现有技术中寻常测试方法无法对任务计划软件的安全性进行有效的测试的缺陷。
[0004]以下通过四个方面进一步阐述本专利技术的内容：第一方面，提供了一种API渗透测试方法，所述方法包括如下步骤：获取整理好的业务逻辑数据；获取整理好的接口文档数据；根据业务逻辑数据检查并获取业务逻辑上存在的逻辑漏洞；根据接口文档数据检查并获取接口文档中存在的接口漏洞；根据获取的逻辑漏洞和接口漏洞进行渗透测试。
[0005]结合第一方面，获取整理好的业务逻辑数据的方法包括如下步骤：遍历任务计划平台的所有服务并进行整理归档，包括跟踪计划服务、推送服务、查找服务、结果响应展示服务、数据请求、数据授权、用户端确认操作、逻辑判断中的一种或多种。
[0006]结合第一方面，获取整理好的接口文档数据的方法包括如下步骤：将任务计划平台的所有接口进行整理统计并归档，包括查询卫星列表接口、查询测站列表接口、获取长管人员信息接口、查询接口、导出计划以及点击跟踪中的一种或多种。
[0007]结合第一方面，根据业务逻辑数据检查并获取业务逻辑上存在的逻辑漏洞的方法包括如下步骤：对每个业务逻辑进行检查，并判断逻辑中是否存在逻辑漏洞；若存在逻辑漏洞，则将存在逻辑漏洞的业务逻辑保存记录下来；其中，判断逻辑中是否存在逻辑漏洞的方法包括：通过多种数据多次在极端情况下执行业务逻辑，若在多次执行后数据仍旧保持稳
定不出错，则认为所述业务逻辑不存在逻辑漏洞。
[0008]结合第一方面，根据接口文档数据检查并获取接口文档中存在的接口漏洞的方法包括如下步骤：对每个接口进行逐个检查，并判断接口文档中的接口是否存在接口漏洞；将存在接口漏洞的该接口保持记录下来；其中，判断接口文档中的接口是否存在接口漏洞的方包括：设置多组数据通过接口进行传输，并检查数据传输过程中是否有数据泄露或数据丢失；若经过多次传输后数据没用泄露或者丢失则认为该接口不存在接口漏洞。
[0009]结合第一方面，根据获取的逻辑漏洞和接口漏洞进行渗透测试的方法包括如下步骤：根据获取的逻辑漏洞和接口漏洞进行不同层度的会话攻击，获取逻辑漏洞或接口漏洞中是否设置超时，若没有，则进行渗透测试。
[0010]第二方面，提供了一种API渗透测试系统，所述系统包括：第一获取模块：用于获取整理好的业务逻辑数据；第二获取模块：用于获取整理好的接口文档数据；第一判断模块：用于根据业务逻辑数据检查并获取业务逻辑上存在的逻辑漏洞；第二判断模块：用于根据接口文档数据检查并获取接口文档中存在的接口漏洞；测试模块：用于根据获取的逻辑漏洞和接口漏洞进行渗透测试。
[0011]结合第二方面，所述第一判断模块对每个业务逻辑进行检查，并判断逻辑中是否存在逻辑漏洞；若存在逻辑漏洞，则将存在逻辑漏洞的业务逻辑保存记录下来；其中，判断逻辑中是否存在逻辑漏洞的方法包括：通过多种数据多次在极端情况下执行业务逻辑，若在多次执行后数据仍旧保持稳定不出错，则认为所述业务逻辑不存在逻辑漏洞；所述第二判断模块对每个接口进行逐个检查，并判断接口文档中的接口是否存在接口漏洞；将存在接口漏洞的该接口保持记录下来；其中，判断接口文档中的接口是否存在接口漏洞的方包括：设置多组数据通过接口进行传输，并检查数据传输过程中是否有数据泄露或数据丢失；若经过多次传输后数据没用泄露或者丢失则认为该接口不存在接口漏洞。
[0012]第三方面，提供了一种电子设备，所述电子设备包括：至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器执行第一方面所述的API渗透测试方法。
[0013]第四方面，提供了一种计算机可读存储介质，所述存储介质上存储有计算机程序，当所述计算机程序被处理器执行时，实现如第一方面所述的API渗透测试方法。
[0014]本专利技术的优点在于：该种API渗透测试方法，通过多个角度对任务计划的业务逻辑
和接口数据进行渗透性测试，确保每个业务逻辑功能或者接口数据均得到有效的测试，从而获取软件存在的漏洞，通过后期针对漏洞来完善该软件，以此获得更加稳定和安全的软件。
附图说明
[0015]图1为本专利技术中方法的结构示意图。
[0016]图2为本专利技术中系统的结构框图。
[0017]图3为本专利技术中测运控服务平台的结构示意图。
[0018]图4为本专利技术中任务计划的模块组成结构示意图。
[0019]图5为本专利技术中接口文档的构成示意图。
具体实施方式
[0020]为使本专利技术实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体实施方式，进一步阐述本专利技术。
[0021]在本专利技术的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、
ꢀ“
底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本专利技术和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本专利技术的限制。此外，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本专利技术的描述中，除非另有说明，“多个”的含义是两个或两个以上。
[0022]在本专利技术的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以通过具体情况理解上述术语在本专利技术中的具体含义。
[0023]任务计划3.0版本软件主要负责对跟踪计划进行展示和设置跟踪、对卫星测站天线进行编辑管理、对任务值班人员进行排班设计、对所跟踪计划进行倒计时统计、对用户申请进行审核、统计所跟踪的圈次以及系本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种API渗透测试方法，其特征在于，所述方法包括如下步骤：获取整理好的业务逻辑数据；获取整理好的接口文档数据；根据业务逻辑数据检查并获取业务逻辑上存在的逻辑漏洞；根据接口文档数据检查并获取接口文档中存在的接口漏洞；根据获取的逻辑漏洞和接口漏洞进行渗透测试。2.根据权利要求1所述的一种API渗透测试方法，其特征在于：获取整理好的业务逻辑数据的方法包括如下步骤：遍历任务计划平台的所有服务并进行整理归档，包括跟踪计划服务、推送服务、查找服务、结果响应展示服务、数据请求、数据授权、用户端确认操作、逻辑判断中的一种或多种。3.根据权利要求2所述的一种API渗透测试方法，其特征在于：获取整理好的接口文档数据的方法包括如下步骤：将任务计划平台的所有接口进行整理统计并归档，包括查询卫星列表接口、查询测站列表接口、获取长管人员信息接口、查询接口、导出计划以及点击跟踪中的一种或多种。4.根据权利要求3所述的一种API渗透测试方法，其特征在于：根据业务逻辑数据检查并获取业务逻辑上存在的逻辑漏洞的方法包括如下步骤：对每个业务逻辑进行检查，并判断逻辑中是否存在逻辑漏洞；若存在逻辑漏洞，则将存在逻辑漏洞的业务逻辑保存记录下来；其中，判断逻辑中是否存在逻辑漏洞的方法包括：通过多种数据多次在极端情况下执行业务逻辑，若在多次执行后数据仍旧保持稳定不出错，则认为所述业务逻辑不存在逻辑漏洞。5.根据权利要求4所述的一种API渗透测试方法，其特征在于：根据接口文档数据检查并获取接口文档中存在的接口漏洞的方法包括如下步骤：对每个接口进行逐个检查，并判断接口文档中的接口是否存在接口漏洞；将存在接口漏洞的该接口保持记录下来；其中，判断接口文档中的接口是否存在接口漏洞的方包括：设置多组数据通过接口进行传输，并检查数据传输过程中是否有数据泄露或数据丢失；若经过多次传输后数据没用泄露或者丢失则认为该接口不存在接口漏洞。6.根据权利要求5所述的一种API渗透测试方法...

【专利技术属性】
技术研发人员：赵磊，董玮，王柳一，李晨栋，
申请(专利权)人：北京航天驭星科技有限公司，
类型：发明
国别省市：