[发明专利]一种安全测试系统和方法

说明书

技术领域

本申请涉及安全测试技术领域，特别是涉及一种安全测试系统和方法。

背景技术

目前，随着因特网及电子商务技术的成熟发展，许许多多的在线应用程序提供各式各样方便且强大的功能(如网络购物、网络银行交易等)以供用户使用。当涉及到用户数据或者交易行为时，这些在线应用程序的安全性也变得格外重要。无论是在线应用程序用户，还是在线服务程序服务的提供者，都在意所提供的功能服务是否有足够的安全性考虑。这些常用的在线应用程序如果被黑客植入恶意程序，在用户执行的过程中，会盗取其隐私数据，将会造成用户及服务提供者的损失。另外，在线应用程序如果不幸被黑客植入恶意程序，在线应用程序服务的提供者非常需要在第一时间得到通知，进而马上处理，以减轻或避免客户和自己的损失。

目前，存在许多在线应用程序的安全测试方案，现有典型的安全测试方法主要有两种：

方法一、基于蜘蛛方式抓取页面所有URL(统一资源定位符，Uniform Resource Locator)进行验证攻击测试，其具有如下缺点：

1、其需要以蜘蛛的方式抓取在线应用程序的链接页面，蜘蛛式的抓取会消耗额外的机器资源；

2、蜘蛛式的抓取还会抓取大量、无用的页面，且无法定制页面；这样，在拥有添加、删除、修改操作的功能点上，使用多个漏洞验证脚本会产生大量的垃圾数据，且会删除掉正常的内容；这不仅消耗大量的时间，而且会降低业务逻辑覆盖率。

方法二、为了避免消耗额外的机器资源，方法二基于人工操作行为记录的URL验证攻击测试；但由于其需要人工操作，会消耗大量的人力资源。

发明内容

本申请所要解决的技术问题是，提供一种安全测试系统和方法，以降低安全测试所消耗大量的机器资源和人力资源，提高安全测试的业务逻辑覆盖率。

为了解决上述问题，本申请公开了一种安全测试系统，包括：

访问日志记录装置，用于针对在线应用程序，将用户访问请求的特征数据保存到访问日志记录中，其中，所述用户访问请求包括正常访问请求和异常访问请求；

访问日志提取装置，用于从在线应用程序的访问日志记录中提取与异常访问请求相应的访问日志记录；及

访问测试装置，用于使用模糊测试脚本进行异常访问请求的重放攻击，并依据返回的响应判断漏洞是否存在。

优选的，所述访问测试装置包括：

注入模块，用于通过恶意参数将脚本代码数据注入到在线应用程序的页面中，其中，所述脚本代码用于描述异常访问请求的特征数据；

判断模块，用于判断所述恶意参数是否在在线应用程序的页面中原始存在，若是，则认为漏洞存在，否则，认为漏洞不存在。

另一方面，本申请还公开了一种安全测试方法，包括：

针对在线应用程序，将用户访问请求的特征数据保存到访问日志记录中，其中，所述用户访问请求包括正常访问请求和异常访问请求；

从在线应用程序的访问日志记录中提取与异常访问请求相应的访问日志记录；

使用模糊测试脚本进行异常访问请求的重放攻击，并依据返回的响应判断漏洞是否存在。

优选的，所述方法还包括：

针对在线应用程序，将其功能测试过程中测试访问请求的特征数据保存至测试日志记录中；

使用模糊测试脚本进行测试访问请求的重放攻击，并依据返回的响应判断漏洞是否存在。

优选的，所述从在线应用程序的访问日志记录中提取与异常访问请求相应的访问日志记录的步骤，包括：

依据异常访问请求的攻击特征配置相应的提取规则；

将所述访问日志记录映射为数据库表，并依据所述提取规则，从所述数据库表中查询提取得到与异常访问请求相应的访问日志记录。

优选的，所述针对在线应用程序，将用户访问请求的特征数据保存到访问日志记录中的步骤，包括：

对在线应用程序的所有页面注入脚本代码，并依据所述脚本代码取得用户访问请求的特征数据；

将用户访问请求的特征数据保存到访问日志记录中。

优选的，所述使用模糊测试脚本进行异常访问请求的重放攻击，并依据返回的响应判断漏洞是否存在的步骤，包括：

通过恶意参数将脚本代码数据注入到在线应用程序的页面中，其中，所述脚本代码用于描述异常访问请求的特征数据；

判断所述恶意参数是否在在线应用程序的页面中原始存在，若是，则认为漏洞存在，否则，认为漏洞不存在。