【技术实现步骤摘要】
本专利技术涉及软件安全测试,具体涉及一种基于sql注入工具测试加密加签接口的方法。
技术介绍
1、sql注入是一种攻击方式,通过在字符串中插入恶意代码,然后将该字符串传递到sql server的实例以进行分析和执行。验证一个接口是否存在sql注入比较简单,而要获取数据,扩大权限,则要输入很复杂的sql语句,有时我们还需要对多个接口进行批量测试,这时就需要用自动化工具来帮助我们进行注入了。
2、随着业内对网络安全的重视,部分接口对数据进行加密处理,防止敏感信息泄露,保障用户隐私;部分接口对参数进行签名,防止参数在请求过程中被篡改。加密和加签名增加了接口的安全性,却对sql注入的测试提出了挑战。
技术实现思路
1、本专利技术的目的在于提供一种基于sql注入工具测试加密加签接口的方法,以期解决
技术介绍
中存在的技术问题。
2、为了实现上述目的,本专利技术采用以下技术方案:
3、一种基于sql注入工具测试加密加签接口的方法,包括以下步骤:
4、分析接口使用的加解密和签名算法;
5、准备去除签名和加密的接口原始请求报文;
6、编写所涉及的加解密和签名算法的脚本;
7、通过交互式代理修改请求和响应的数据包;
8、设置sql注入工具通过上述交互式代理进行测试。
9、在一些实施例中,所述分析接口使用的加解密和签名算法的方法,包括:
10、通过研发人员提供的接口文档或加密包等资料获得
11、在一些实施例中,所述准备去除签名和加密的接口原始请求报文,包括:
12、通过研发人员提供的接口文档或其他资料获得相关接口的地址、参数和请求方法等;通过抓包获得接口的地址和请求方法,再解密获得相关参数。
13、在一些实施例中,所述编写所涉及的加解密和签名算法的脚本,通过所述算法或代码编写加密脚本、解密脚本和签名脚本。
14、在一些实施例中,所述通过交互式代理修改请求和响应的数据包,包括选用支持对请求和响应数据进行编辑的代理工具,并通过提供的编辑方法实现对请求数据的加密、签名以及对响应数据进行解密的功能。
15、在一些实施例中,所述设置sql注入工具通过上述交互式代理进行测试,通过选用支持代理的sql注入工具。
16、本专利技术与现有技术相比具有的有益效果是:
17、通过本专利技术可使用既有的sql注入工具自动测试加密加签的接口,在不重复造轮子的情况下,增加了测试效率,降低了漏洞遗漏风险。其中的关键点在于将sql注入工具接入交互式代理工具,代理工具修改其传入的请求数据进行加密、签名,再发送到服务器,服务器返回的响应如果也加密了,则由代理工具先解密了再传回给sql注入工具。从而使接口加密加签对sql注入工具透明,工具可针对明文参数进行测试。
本文档来自技高网...【技术保护点】
1.一种基于SQL注入工具测试加密加签接口的方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种基于SQL注入工具测试加密加签接口的方法,其特征在于:
3.根据权利要求1所述的一种基于SQL注入工具测试加密加签接口的方法,其特征在于:
4.根据权利要求2所述的一种基于SQL注入工具测试加密加签接口的方法,其特征在于:
5.根据权利要求2所述的一种基于SQL注入工具测试加密加签接口的方法,其特征在于:
6.根据权利要求2所述的一种基于SQL注入工具测试加密加签接口的方法,其特征在于:
【技术特征摘要】
1.一种基于sql注入工具测试加密加签接口的方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种基于sql注入工具测试加密加签接口的方法,其特征在于:
3.根据权利要求1所述的一种基于sql注入工具测试加密加签接口的方法,其特征在于:
<...【专利技术属性】
技术研发人员:张荣芸,
申请(专利权)人:四川启睿克科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。