[发明专利]自动化安全测试

说明书

背景技术

 许多事务保持在线存在并且使用web（网络）来进行许多它们的商业和事务运营。通常，事务加入已知为web 2.0的可以涉及跨web信息共享的web的各方面，其中web被视为用于以用户为中心的设计的平台。具有安全网页是确保事务保持其在线数据的完整性并且继续在web和web 2.0上合适地运行的一种技术。因此，经常性地验证网页安全。

人工渗透测试是一种安全验证的技术。在人工渗透测试中，在网页上模拟来自恶意源的攻击。攻击通常包括将恶意代码插入到与网页的通信中。用户可以关于通过攻击而已被暴露的漏洞来人工地分析网站。然而，许多网页很大并且很广泛，因此在人工分析期间漏洞会被遗漏。另外，网站管理员可能未察觉存在于贯穿网络的各种网页上的一些应用，并且与那些应用有关的漏洞也可能被遗漏。进一步地，事务过程能够很难测试，并且源代码可能不完全被人工攻击所涵盖而允许更多的被遗漏的漏洞。

可替代地，传输层攻击机制可以被用来对漏洞进行测试。通过将包括攻击代码的各种参数封闭在web请求内可以创建传输层攻击。请求可以被发送到服务器以供处理。当存在此类漏洞时，如果服务器以预期的方式对请求进行响应，那么基于攻击可以找到漏洞。

爬行（crawl）和审查（audit）技术也可以被用来发现漏洞，并且通常通过对导致向服务器的请求以及来自服务器的响应的每个链接静态地起作用而被使用。另外地，爬行和审查技术在没有用户交互或web浏览器的帮助的情况下被自动地执行。不记录用户业务，因此对于访问web 2.0应用而言没有认证数据是可用的。

附图说明

在以下详细描述中并且参考附图描述了某些示例性实施例，其中：

图1是示出根据本技术的实施例的用于自动化安全测试的计算机执行方法的过程流程图。

图2是示出根据本技术的实施例的用于自动化安全测试的计算机执行方法的过程流程图。

图3是根据本技术的实施例的可以提供自动化安全测试的系统的框图。

图4是示出根据本技术的实施例的存储用于自动化安全测试的代码的非临时计算机可读介质的框图。

具体实施方式

通过记录与web浏览器的用户交互，本技术的实施例可以自动地检测网页安全漏洞。而且，本技术的实施例可以创建能够在web浏览器上被记录和播放的宏（macro），并且将攻击注入到由宏所播放的事件中。宏的回放可以被用来在对网站的完全自动化漏洞扫描期间发现新漏洞。进一步地，本技术的实施例可以自动地登录到网页并且使用包含与web浏览器的用户交互的所记录的宏的回放来保持各种网页的状态。在回放所记录的宏期间可以做出web请求，以便发现新链接、在web应用中找到攻击点、进行攻击、以及发现漏洞。

图1是示出根据实施例的用于自动化安全测试的计算机执行方法100的过程流程图。在块102处记录了宏。如本文所使用的，宏是可以被回放以重复动作或输入的一系列动作或输入的软件记录。宏可以包括网页的元素的操作、元素的属性的修改、对于文档对象模型（DOM）中的元素的位置的改变、以及元素的任何同级（sibling）。元素还可以基于由与web浏览器的用户交互所引起的事件。作为结果，宏可以记录用户与web浏览器的交互。用户能够以与如由用户所选择的要被记录的事务过程对应的诸如登录到网页中或查看简档信息之类的任何方式来与web浏览器交互。事件句柄（handler）也可以被用来记录宏。

用户还可以选择诸如指示登入状态或登出状态的元素之类的网页的元素来记录。例如，在网页上说出“登录”的按钮可以指示登出状态。进一步地，用户能够定义要被包括在宏中并且被用于由网页为了认证目的而呈现的动态安全问题的一组问题和答案。还可以记录动态安全问题的位置。例如，银行网站能够向用户提示作为部分“深入安全（security-in-depth）”方法的对于诸如“你的猫的最喜欢的球是什么？”之类的一系列预配置问题的答案。当用户将该组问题和答案定义成包括在宏中时，在漏洞扫描期间可以克服这些问题。