[发明专利]网络应用安全测试工具及模糊测试用例生成方法和系统

说明书

技术领域

本发明涉及安全测试领域，特别是涉及一种网络应用安全测试工具及模糊测试用例生成方法和系统。

背景技术

近年来，互联网安全攻击事件屡发不止，其中，由于网络应用站点薄弱的安全防护，导致网络应用成为黑客攻击的主要目标。黑客通过对在线应用程序植入恶意程序，在用户执行操作的过程中，盗取用户的隐私数据，造成用户的损失。因此，必须加强对网络应用的安全测试，降低其遭受攻击以及威胁的可能性，保障通信安全。

模糊测试是一种广泛使用的软件测试技术，通过模糊器自动化或半自动化的构造大量非预期的模糊测试数据发送给目标测试应用，并监测异常来发现可能存在的漏洞。由此，模糊测试因能监测出软件实现中被忽略的故障，而广泛用于检测软件或计算机系统的安全漏洞。现今，模糊测试方法已经大量应用于网络应用安全测试工具中。

目前，存在许多用于模糊测试和网络应用安全测试的工具，一类是国内信息安全厂商研发的商业安全监测工具，另一类是国外安全团队开发的较为成熟的安全测试工具，两种测试工具均有其自己的特点，但是，两类网络应用安全测试工具均使用已经编好的、完整的存于安全测试工具系统内的模糊测试用例来对网络安全进行测试，也就是说，这两类安全测试工具中用于测试网络应用安全的模糊测试用例已经固定，不能灵活地在系统内进行添加、删除和修改模糊测试用例等操作，只可在对可用已存在于安全测试工具内部的模糊测试用例进行网络安全测试的情况时，才可对网络安全进行正常、有效地测试，而对一些比较少见的或是特殊的网络安全状况无法很好地进行网络安全测试，缺乏针对性和适用性。

发明内容

有鉴于此，本发明实施例提供一种网络应用安全测试工具及模糊测试用例生成方法和系统，以解决现有技术中网络应用安全测试工具即模糊测试缺乏针对性和适用性的问题。

为实现上述目的，本发明实施例提供如下技术方案：

一种模糊测试用例生成方法，用于网络应用安全测试工具，包括：

获取超文本传送协议HTTP请求数据，确定模糊测试类型；

根据模糊测试类型添加测试逻辑，执行所述测试逻辑，生成模糊测试数据；

将HTTP请求数据中预定字段替换为所述模糊测试数据，得到HTTP模糊测试用例。

其中，通过模糊测试工具获取HTTP请求数据或手动构造HTTP请求数据。

其中，所述模糊测试类型包括：目录遍历、跨站脚本、结构化查询语言SQL注入、请求方法和字典攻击。

其中，所述根据模糊测试类型添加逻辑，并执行所述测试逻辑，生成模糊测试数据包括：

根据模糊测试类型添加测试策略，生成策略文件；

读取所述策略文件，确定策略文件中伪码的行数，计算逻辑结构关键词在策略文件中的位置，确定所述策略文件的逻辑结构，并执行所述逻辑结构；

得到所述策略文件每行的执行返回值，生成模糊测试数据。

其中，所述根据模糊测试类型添加测试逻辑，并执行所述测试逻辑，生成模糊测试数据包括：

根据模糊测试类型添加测试字典，生成字典文件；

确定字典文件的数目，

若字典文件数目大于1，则对所有字典文件进行笛卡尔积运行，得到笛卡尔积运算返回值，生成模糊测试数据；

若字典文件数目为1，则直接返回该字典文件，生成模糊测试数据。

其中，所述获取超文本传送协议HTTP请求数据后还包括：检查获取的HTTP请求数据是否规范，

判断获取的HTTP请求数据是否规范包括：

判断所述HTTP请求数据是否不为空；

判断所述HTTP请求数据是否符合HTTP格式；

判断所述HTTP请求数据是否添加了模糊测试；

若均是，则判定获取的HTTP请求数据规范。

一种网络应用安全测试工具，基于上述所述的模糊测试用例生成方法。

一种模糊测试用例生成系统，包括：获取模块、数据生成模块和用例生成模块，其中，

所述获取模块，用于获取超文本传送协议HTTP请求数据，确定模糊测试类型；

所述数据生成模块，用于根据模糊测试类型添加测试逻辑，执行所述测试逻辑，生成模糊测试数据；

所述用例生成模块，用于将HTTP请求数据中预定字段替换为所述模糊测试数据，得到模糊测试用例。

其中，所述数据生成模块包括：文件生成单元、文件执行单元和数据生成单元，其中，