[发明专利]自动化安全测试

权利要求书

1.一种用于自动化安全测试的系统，包括：

适于执行所存储的指令的处理器；以及

存储指令的存储设备，所述存储设备包括处理器可执行代码，所述处理器可执行代码在被所述处理器执行时适于：

记录宏；

当拦截来自web浏览器的业务时播放记录的宏；

当播放所述宏时拦截web请求；

攻击所述web请求；

将所述web请求发送到web服务器；

接收基于所述web请求的来自web服务器的响应；以及

处理web服务器的响应以确定任何漏洞。

2.权利要求1中所记载的系统，其中存储设备包括计算机可执行代码，所述计算机可执行代码在被所述处理器执行时适于通过以下操作来处理web服务器的响应以确定任何漏洞：

用web浏览器来执行所述响应中的脚本；

将文档对象模型方法挂钩到在脚本执行期间被执行的应用代码；以及

如由所述应用代码的执行所指出的，基于在脚本执行期间被调用的文档对象模型方法来确定漏洞。

3.权利要求1中所记载的系统，其中存储设备包括计算机可执行代码，所述计算机可执行代码在被所述处理器执行时适于通过记录用户与web浏览器的交互来记录宏。

4.权利要求1中所记载的系统，其中存储设备包括计算机可执行代码，所述计算机可执行代码在被所述处理器执行时适于在回放所述宏期间攻击所述web请求。

5.权利要求1中所记载的系统，其中存储设备包括计算机可执行代码，所述计算机可执行代码在被所述处理器执行时适于通过以下操作来记录宏：

将文档对象模型的元素包括在所述宏中；以及

在文档对象模型已改变之后，基于所述元素的相对于文档对象模型中的其他元素的位置、标签名称、元素ID、元素名称、或其任何组合来在文档对象模型中找到所述元素。

6.一种用于自动化安全测试的方法，包括：

记录宏；

当代理服务器拦截来自web浏览器的业务时播放记录的宏；

当播放所述宏时拦截web请求；

攻击所述web请求；

将所述web请求发送到web服务器；

接收基于所述web请求的来自web服务器的响应；以及

处理web服务器的响应以确定任何漏洞。

7.权利要求6中所记载的方法，其中处理web服务器的响应以确定任何漏洞包括：

用web浏览器来执行所述响应中的脚本；

将文档对象模型方法挂钩到应用代码；以及

如由所述应用代码的执行所指出的，基于在脚本执行期间被调用的文档对象模型方法来确定漏洞。

8.权利要求6中所记载的方法，其中攻击所述web请求包括将恶意代码注入到所述web请求中。

9.权利要求6中所记载的方法，其中记录宏包括定义元素以供记录，所述元素指示登出状态、登入状态、或一组问题和答案。

10.权利要求6中所记载的方法，其中记录宏包括使用事件句柄来记录网页的元素。

11.权利要求6中所记载的方法，其中所述web请求被发送到在所述web请求被拦截之前是它的原始目的地的web服务器。

12.权利要求6中所记载的方法，其中攻击所述web请求包括关于什么构成漏洞的对应规则。

13.一种非临时计算机可读介质，包括被配置成引导处理器进行以下操作的代码：

记录宏；

当拦截来自web浏览器的业务时播放记录的宏；

当播放所述宏时拦截web请求；

攻击所述web请求；

将所述web请求发送到web服务器；

接收基于所述web请求的来自web服务器的响应；以及

处理web服务器的响应以确定任何漏洞。

14.权利要求13中所记载的非临时计算机可读介质，包括被配置成引导处理器通过以下操作来处理web服务器的响应以确定任何漏洞的代码：

用web浏览器来执行所述响应中的脚本；

将文档对象模型方法挂钩到在脚本执行期间被执行的应用代码；以及

如由所述应用代码的执行所指出的，基于在脚本执行期间被调用的文档对象模型方法来确定漏洞。

15.权利要求13中所记载的非临时计算机可读介质，包括被配置成引导处理器通过将恶意代码注入到所述web请求中来攻击web请求的代码。