本发明专利技术公开了一种数据安全测试方法
【技术实现步骤摘要】
数据安全测试方法、装置及存储介质
[0001]本专利技术涉及通信安全
,尤其涉及一种数据安全测试方法
、
装置及存储介质
。
技术介绍
[0002]在网络通信中,数据库可能面临多种安全问题,如黑客攻击
、
内部威胁
、
社会工程和未经授权的访问等,都可能会导致数据泄露
。
泄露的数据可能被用于身份盗窃
、
欺诈
、
恶意竞争或其它非法活动,许多行业都有严格的标准,要求组织保护和安全处理其数据库中的敏感信息,避免因数据泄漏造成损失
。
[0003]随着科技的发展,新技术层出不穷,开发出很多新的应用程序和网页功能
。
例如手机或平板上的
app
,或者新设计的网站,在应用程序或者网页发布之前,需要对其进行安全测试,以保障信息通信安全,防止数据被窃取
。
[0004]现有技术中可以根据开源渗透测试工具
sqlmap
进行安全测试,可用于测试网站或应用程序的数据库安全性,能够从攻击者角度扫描并检测
SQL
注入漏洞,并通过利用漏洞获取对数据库服务器的控制权
。
但是在使用
sqlmap
进行安全检测时,需要使用者具备一定的技术经验和对
SQL
注入漏洞的理解,并使用终端执行扫描命令,手动对请求报文进行编辑并传递给
sqlmap
,容易出错
。
此外,通过
sqlmap
进行数据安全测试时,需要先抓包获取接口报文,然后手动建立扫描任务
。
因此,测试人员在使用
sqlmap
测试网站或
app
的安全性时,需要人工参与多种操作,工作量大且容易出错
。
再者,
sqlmap
只能单条分析,面对系统级别的接口难免会有遗漏的测试点
。
技术实现思路
[0005]本专利技术提供了一种数据安全测试方法
、
装置及存储介质,旨在有效解决现有技术中对网站或应用程序进行安全测试时,依赖人工操作导致工作量大且容易出错的技术问题
。
[0006]根据本专利技术的一方面,本专利技术提供一种数据安全测试方法,方法包括:
[0007]当终端设备上的待测程序与服务器进行数据交互时,通过抓包工具录制包含通信接口的请求信息,并根据所述请求信息生成请求列表;
[0008]针对所述请求列表中待扫描的目标请求信息,通过渗透测试工具生成扫描任务列表;
[0009]通过所述渗透测试工具对所述扫描任务列表中的目标请求信息进行漏洞扫描,并输出扫描结果
。
[0010]进一步地,所述数据安全测试方法还包括:
[0011]在所述通过抓包工具录制包含通信接口的请求信息之前,基于所述抓包工具创建流量录制项目,并生成所述流量录制项目对应的项目标识
。
[0012]进一步地,所述通过抓包工具录制包含通信接口的请求信息包括:
[0013]判断操作人员是否在所述流量录制项目下启动用于运行待测程序的浏览器;
[0014]若操作人员启动浏览器,针对操作人员在待测程序中的测试操作,通过所述抓包工具获取测试操作对应的请求信息;
[0015]若操作人员未启动浏览器,通过所述抓包工具中的代理功能与待测程序相连接,针对操作人员在待测程序中的测试操作,通过所述代理功能获取测试操作对应的请求信息
。
[0016]进一步地,所述请求信息还包括主机标识,所述根据所述请求信息生成请求列表包括:
[0017]获取所述请求信息中的主机标识;
[0018]根据所述主机标识对所述请求信息进行分类;
[0019]针对每一个主机标识,在所述流量录制项目下生成该主机标识对应的请求列表
。
[0020]进一步地,所述数据安全测试方法还包括:
[0021]在所述通过渗透测试工具生成扫描任务列表之前,确定所述渗透测试工具的扫描服务处于启动状态,并获取操作人员在所述请求列表中选择的待扫描的目标请求信息
。
[0022]进一步地,所述针对所述请求列表中待扫描的目标请求信息,通过渗透测试工具生成扫描任务列表包括:
[0023]调用所述渗透测试工具的新建任务接口,根据所述目标请求信息生成一一对应的扫描任务,根据所述扫描任务生成所述扫描任务列表
。
[0024]进一步地,所述通过所述渗透测试工具对所述扫描任务列表中的目标请求信息进行漏洞扫描包括:
[0025]根据所述扫描任务列表生成任务执行队列,其中,任务执行队列包括待扫描的目标扫描任务;
[0026]获取操作人员针对扫描等级输入的等级参数;
[0027]根据所述扫描等级对所述任务执行队列中的目标请求信息进行漏洞扫描
。
[0028]进一步地,所述根据所述扫描任务列表生成任务执行队列包括:
[0029]确定操作人员在所述扫描任务列表中选择的待扫描的目标扫描任务;
[0030]根据所述目标扫描任务生成所述任务执行队列
。
[0031]进一步地,所述根据所述扫描等级对所述任务执行队列中的目标请求信息进行漏洞扫描包括:
[0032]调用所述渗透测试工具的扫描任务执行接口;
[0033]对所述目标扫描任务对应的目标请求信息进行格式转换以生成扫描请求信息,其中,所述目标请求信息的格式与所述抓包工具相关联,所述扫描请求信息的格式与所述渗透测试工具相关联;
[0034]根据所述扫描等级对所述任务执行队列中的扫描请求信息进行漏洞扫描
。
[0035]进一步地,所述输出扫描结果包括:
[0036]对有漏洞的目标扫描任务添加扫描结束标识和警示标识,并输出告警信息;
[0037]对无漏洞的目标扫描任务添加扫描结束标识
。
[0038]根据本专利技术的另一方面,本专利技术还提供了一种数据安全测试装置,所述装置包括:
[0039]信息获取模块,当终端设备上的待测程序与主机进行数据交互时,通过抓包工具
录制包含通信接口的请求信息,并根据所述请求信息生成请求列表;
[0040]任务创建模块,用于针对所述请求列表中待扫描的目标请求信息,通过渗透测试工具生成扫描任务列表;
[0041]任务扫描模块,用于通过所述渗透测试工具对所述扫描任务列表中的目标请求信息进行漏洞扫描,并输出扫描结果
。
[0042]根据本专利技术的另一方面,本专利技术还提供了一种存储介质,所述存储介质中存储有多条指令,所述指令适于由处理器加载以执行如上所述的任一数据安全测试方法
。
[0043]通过本专利技术中的上述实施例中的一个实施例或多个实施例,至少可以实现如下技术效果:
[0044]在本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种数据安全测试方法,其特征在于,所述数据安全测试方法包括:当终端设备上的待测程序与服务器进行数据交互时,通过抓包工具录制包含通信接口的请求信息,并根据所述请求信息生成请求列表;针对所述请求列表中待扫描的目标请求信息,通过渗透测试工具生成扫描任务列表;通过所述渗透测试工具对所述扫描任务列表中的目标请求信息进行漏洞扫描,并输出扫描结果
。2.
如权利要求1所述的数据安全测试方法,其特征在于,所述数据安全测试方法还包括:在所述通过抓包工具录制包含通信接口的请求信息之前,基于所述抓包工具创建流量录制项目,并生成所述流量录制项目对应的项目标识
。3.
如权利要求2所述的数据安全测试方法,其特征在于,所述通过抓包工具录制包含通信接口的请求信息包括:判断操作人员是否在所述流量录制项目下启动用于运行待测程序的浏览器;若操作人员启动浏览器,针对操作人员在待测程序中的测试操作,通过所述抓包工具获取测试操作对应的请求信息;若操作人员未启动浏览器,通过所述抓包工具中的代理功能与待测程序相连接,针对操作人员在待测程序中的测试操作,通过所述代理功能获取测试操作对应的请求信息
。4.
如权利要求2所述的数据安全测试方法,其特征在于,所述请求信息还包括主机标识,所述根据所述请求信息生成请求列表包括:获取所述请求信息中的主机标识;根据所述主机标识对所述请求信息进行分类;针对每一个主机标识,在所述流量录制项目下生成该主机标识对应的请求列表
。5.
如权利要求1所述的数据安全测试方法,其特征在于,所述数据安全测试方法还包括:在所述通过渗透测试工具生成扫描任务列表之前,确定所述渗透测试工具的扫描服务处于启动状态,并获取操作人员在所述请求列表中选择的待扫描的目标请求信息
。6.
如权利要求1所述的数据安全测试方法,其特征在于,所述针对所述请求列表中待扫描的目标请求信息,通过渗透测试工具生成扫描任务列表包括:调用所述渗透测试工具的新建任务接口,根据所述目标请求信息生成一一对应的扫描任务,根据所述扫描任务生成所述扫描任务列表
【专利技术属性】
技术研发人员:廖春元,冒雨楠,邢刘健,
申请(专利权)人:亮风台昆山信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。