System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind()
【技术实现步骤摘要】
本申请涉及一种系统的数据访问权限测试,尤其涉及一种数据越权的自动化测试方法、装置、系统和介质。
技术介绍
1、目前大多数公司在进行安全测试时,主要依赖工具进行扫描和分析来识别系统中的数据越权漏洞。然而,这些工具无法检测到不同用户在各个业务场景下的动态权限控制,可能会出现误报或漏报的情况。因此,需要人工进行二次分析和处理以确保测试结果的准确性。其次,当前市场上的安全测试工具缺乏灵活快速的配置功能,导致安全测试周期长,增加了管理和维护成本。针对不同的系统和业务需求,可能需要定制化的配置和脚本编写,这使得整个测试流程变得繁琐和耗时。最后,现有的安全测试场景难以贴合不同的业务场景,特别是复杂的业务流程和大规模的数据集。现有的安全测试工具难以覆盖所有可能的情况和组合,无法全面评估系统在真实业务环境下的安全性。因此,在进行安全测试时,仍然需要结合人工审查和专业安全测试人员的参与,以确保全面的安全性评估和漏洞修复工作。
技术实现思路
1、本申请的目的在于提供一种数据越权的自动化测试方法、装置、系统和介质,以至少解决相关技术中现有的安全测试面临着无法全面覆盖各种用户在不同业务场景下的权限访问数据,难以确保全面的异常行为检测的问题。
2、本申请第一方面提供一种数据越权的自动化测试方法,应用于自动化测试机器人,所述方法包括:
3、基于获取的系统数据和业务数据,确定不同用户在各个业务场景下的权限访问数据,并根据所述权限访问数据确定测试方案和相对应的测试用例;
4、根据
5、根据所述特征文件执行所述测试脚本,模拟不同用户在各个业务场景下的行为,得到测试结果;
6、根据所述测试结果,利用预先设置的模型确定异常行为。
7、在一个实施例中,所述方法还包括:
8、获取在预设时间段内的所述异常行为,确定系统的安全性。
9、在一个实施例中,所述确定系统的安全性,包括:
10、若在预设时间段内的所述异常行为的概率大于等于预设指标值,则所述系统的安全性为高风险;
11、若在预设时间段内的所述异常行为的概率小于预设指标值,则所述系统的安全性为低风险。
12、在一个实施例中,所述方法还包括:
13、响应于监听到系统的日志数据中有所述异常行为,则触发警报,其中,所述警报包括邮件或短信。
14、本申请第二方面提供一种数据越权的自动化测试装置,应用于自动化测试机器人,所述装置包括:
15、测试用例获取模块,用于基于获取的系统数据和业务数据,确定不同用户在各个业务场景下的权限访问数据,并根据所述权限访问数据确定测试方案和相对应的测试用例;
16、测试脚本获取模块,用于根据所述测试用例确定相对应的特征文件和测试脚本;
17、测试结果获取模块,用于根据所述特征文件执行所述测试脚本,模拟不同用户在各个业务场景下的行为,得到测试结果;
18、异常行为确定模块,用于根据所述测试结果,利用预先设置的模型确定异常行为。
19、在一个实施例中,所述装置还包括:
20、安全性确定模块,用于获取在预设时间段内的所述异常行为,确定系统的安全性。
21、在一个实施例中,所述确定系统的安全性,包括:
22、若在预设时间段内的所述异常行为的概率大于等于预设指标值,则所述系统的安全性为高风险;
23、若在预设时间段内的所述异常行为的概率小于预设指标值,则所述系统的安全性为低风险。
24、在一个实施例中,所述装置还包括:
25、触发警报模块,用于响应于监听到系统的日志数据中有所述异常行为,则触发警报,其中,所述警报包括邮件或短信。
26、本申请第三方面提供一种数据越权的自动化测试系统,包括存储器和一个或多个处理器,所述存储器中存储有可执行代码,所述一个或多个处理器执行所述可执行代码时,用于实现上述任一项所述的数据越权的自动化测试方法。
27、本申请第四方面提供一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时,实现上述所述的数据越权的自动化测试方法。
28、本申请实施例提供的一种数据越权的自动化测试方法、装置、系统和介质至少具有以下技术效果。
29、通过获取系统数据和业务数据,能模拟更广泛的用户行为和测试场景,超出了传统自动化测试工具的能力范围,有效地填补了现有工具在数据越权检测方面可能存在的漏洞。通过自主学习业务场景并生成相应的测试方案和测试用例,从而更全面地覆盖潜在的越权风险。自动化测试机器人根据测试用例生成测试脚本,避免了手动创建测试脚本的需求,大大节省了测试人员的时间和精力。通过自动化执行这些测试脚本,模拟不同用户在各个业务场景下的行为,并验证系统是否正确地限制了数据访问权限,阻止了越权操作,从而提高了自动化测试的效率和准确性。
30、本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
本文档来自技高网...【技术保护点】
1.一种数据越权的自动化测试方法,其特征在于,应用于自动化测试机器人,所述方法包括:
2.根据权利要求1所述的数据越权的自动化测试方法,其特征在于,所述方法还包括:
3.根据权利要求2所述的数据越权的自动化测试方法,其特征在于,所述确定系统的安全性,包括:
4.根据权利要求1所述的数据越权的自动化测试方法,其特征在于,所述方法还包括:
5.一种数据越权的自动化测试装置,其特征在于,应用于自动化测试机器人,所述装置包括:
6.根据权利要求5所述的数据越权的自动化测试装置,其特征在于,所述装置还包括:
7.根据权利要求6所述的数据越权的自动化测试方法,其特征在于,所述确定系统的安全性,包括:
8.根据权利要求1所述的数据越权的自动化测试装置,其特征在于,所述装置还包括:
9.一种数据越权的自动化测试系统,其特征在于,包括存储器和一个或多个处理器,所述存储器中存储有可执行代码,所述一个或多个处理器执行所述可执行代码时,用于实现权利要求1-4中任一项所述的数据越权的自动化测试方法。
...【技术特征摘要】
1.一种数据越权的自动化测试方法,其特征在于,应用于自动化测试机器人,所述方法包括:
2.根据权利要求1所述的数据越权的自动化测试方法,其特征在于,所述方法还包括:
3.根据权利要求2所述的数据越权的自动化测试方法,其特征在于,所述确定系统的安全性,包括:
4.根据权利要求1所述的数据越权的自动化测试方法,其特征在于,所述方法还包括:
5.一种数据越权的自动化测试装置,其特征在于,应用于自动化测试机器人,所述装置包括:
6.根据权利要求5所述的数据越权的自动化测试装置,其特征在于,所述装置还包括:
【专利技术属性】
技术研发人员:薛寒冰,魏少龙,刘鹏,
申请(专利权)人:浙江百应科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。