[发明专利]一种用于测试计算机软件应用的方法和系统

说明书

技术领域

本发明总体上涉及计算机软件测试。

背景技术

动态分析工具经常被计算机软件开发人员用来测试计算机软件应用，通常的做法是，首先，探索计算机软件应用来发现它的接口，包括通过其可向应用提供数据的那些接口；然后，与应用的接口交互，并监视应用对这样的交互的响应。在一种动态分析中，通过向应用提供带有已知的恶意属性的测试数据，然后观察应用的行为，测试计算机软件应用的安全漏洞。例如，通过采用在一台计算机上运行的“黑盒测试仪”，所述“黑盒测试仪”经由计算机网络向另一计算机托管的网络应用发送HTTP请求，动态分析可被用于测试通过计算机网络(比如因特网)访问的网络应用。所述HTTP请求配置有从测试数据有效载荷库抽取的恶意测试数据有效载荷，该恶意测试数据有效载荷被设计用来测试比如SQL注入、跨站点脚本、以及命令注入的安全漏洞。

“黑盒测试仪”可以向计算机软件应用发送所有可能的测试数据有效载荷以便测试所有可能的安全漏洞。然而，由于经由计算机网络发送许多HTTP请求在时间和宽带方面的成本高，经由计算机网络测试网络应用的商业黑盒测试仪通常对每个被测试的HTTP参数仅发送几十个测试有效载荷以便控制这种成本。不幸的是，这往往意味着一些安全漏洞被漏测。

发明内容

根据第一方面，提供了用于测试计算机软件应用的方法，所述方法包括配置第一计算机以便执行由在第二计算机的计算机软件应用使用的数据检查软件的副本，使用在所述第一计算机的所述数据检查软件处理测试数据有效载荷的第一副本，其中所述测试数据有效载荷被配置为测试相关安全漏洞，确定所述测试数据有效载荷的所述第一副本被在所述第一计算机的数据检查软件认可用于进一步处理，并经由计算机网络向在所述第二计算机的所述计算机软件应用发送所述测试数据有效载荷的第二副本用于处理威胁(threat)。

优选地，所述方法进一步包括识别由所述计算机软件应用使用的所述数据检查软件。更优选地，所述识别包括确定所述数据检查软件是消毒剂(sanitizer)和验证器(validator)中的任意一个。更优选地，所述方法进一步包括装备所述计算机软件应用以便执行所述识别。

优选地，所述测试数据有效载荷被储存在所述第一计算机。更优选地，所述测试数据有效载荷包括被设计为利用所述安全漏洞的恶意有效载荷。更优选地，所述确定包括确定所述测试数据有效载荷的所述第一副本被配置为在被所述第一计算机的所述数据检查软件处理后测试其相关安全漏洞。更优选地，执行所述配置、处理、确定和发送，其中所述计算机软件应用包括网络应用。

根据第二方面，提供了用于测试计算机软件应用的系统，所述系统包括：可配置的有效载荷测试仪，配置第一计算机执行由在第二计算机的计算机软件应用使用的数据检查软件副本，使用在所述第一计算机的所述数据检查软件处理测试数据有效载荷的第一副本，其中所述测试数据有效载荷可配置为测试相关的安全漏洞，并确定所述测试数据有效载荷的所述第一副本被在所述第一计算机的所述数据检查软件认可用于进一步处理；以及应用测试仪，可配置为利用计算机网络向在所述第二计算机的所述计算机软件应用发送所述测试数据有效载荷的第二副本用于处理威胁。

根据第三方面，提供了用于测试计算机软件应用的计算机程序产品，所述计算机程序产品包括：非暂时的、计算机可读存储介质和包含于所述计算机可读存储介质中的计算机可读程序代码，其中所述计算机可读程序代码是可配置的，其配置第一计算机以便执行由在第二计算机的计算机软件应用使用的数据检查软件副本，使用在所述第一计算机的所述数据检查软件处理测试数据有效载荷的第一副本，其中所述测试数据有效载荷被配置为测试相关安全漏洞，确定所述测试数据有效载荷的所述第一副本被在所述第一计算机的所述数据检查软件认可用于进一步处理，以及利用计算机网络向在所述第二计算机的所述计算机网络应用发送所述测试数据有效载荷的第二副本用于处理威胁。

附图说明

现在将仅通过示例的方式，参考如下附图来描述本发明的优选实施例：

图1是根据本发明实施例构成和实施的用于测试计算机软件应用的系统的简化的概念图；

图2是根据本发明实施例实施的图1的系统的示例性操作方法的简化的流程图；以及

图3是根据本发明实施例构成和实施的计算系统的示例性硬件实现的简化的框图。

具体实施方式