[发明专利]一种基于HTTP协议的自动测试方法及系统

说明书

技术领域

本发明涉及HTTP协议应用方法及系统领域，尤指是一种基于HTTP协议的自动测试方法及系统。

背景技术

超文本传输协议(HTTP，HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。HTTP是一个客户端和服务器端请求和应答的标准(TCP)。客户端是终端用户，服务器端是网站。HTTP协议中共定义了若干方法(也称“动作”)来表明Request-URI指定的资源的不同操作方式。动作包括OPTIONS PUT、DELETE、POST、GET等。

POST是向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。数据被包含在请求体中。POST请求可能会导致新的资源的建立和/或已有资源的修改。

POST主要作用是向服务器传送数据。服务器端用Request.Form获取提交的数据。POST传送的数据量较大，一般被默认为不受限制。但理论上，限制取决于服务器的处理能力。一般来说，POST的所有操作对用户来说都是不可见的。

对于WiFi路由器产品中，在设置WiFi路由器时存在管理员用户名和密码。若该用户名和密码被随意修改，则用户网络安全会存在风险。上述的POST操作在WiFi路由器产品使用中存在一个漏洞，即通过POST操作有些情况下可以未经授权直接修改管理员用户名和密码。该项漏洞在WiFi路由器产品生产过程中需要进行测试。当然，其他通信产品也可能存在POST操作带来的更改未经授权的用户名或密码问题。

发明内容

本发明的目的是提供一种基于HTTP协议的自动测试方法及系统，能够实现对未授权修改管理员账号密码漏洞的自动化测试，从而减少测试人员的工作量和测试成本，并减小测试误测率

本发明提供的技术方案如下：

一种基于HTTP协议的自动测试方法，包括以下具体步骤：

步骤1、将所要修改的用户名和密码组成数据包；

步骤2、将所述数据包向统一资源定位符地址进行POST操作；

步骤3、进入测试设备登录页面，进行所要修改的用户名和密码的登录认证，如果登录认证成功则说明有漏洞存在，如果登录认证不成功则说明无漏洞存在。

本实施例采用脚本将所要修改的用户名和密码组成POST数据包向Request URL进行POST，进入测试设备登录页面，进行所要修改的用户名和密码的登录认证，如果登录认证成功则说明有漏洞存在，如果登录认证不成功则说明无漏洞存在。该方法能够简化工作量：所有手动工作都自动化完成；减少产品成本：测试人员只需运行自动化脚本并查看结果即可；增加确定性：自动化测试误测率小。

进一步优选地，还包括：在步骤1将所要修改的用户名和密码组成数据包之前，先将所要修改的密码进行Base64编码；所述所要修改的用户名和密码组成数据包为所要修改的用户名明码和编码后的密码组成的数据包。

对密码的编码操作能更够避免密码采用明码方式传输，增加安全性。

进一步优选地，在步骤3中，登录成功的判断方式为查找登录后的元素，如果存在则登录成功，如果不存在则登录不成功。

进一步优选地，在步骤3之后还包括：步骤4、输出测试结论。

一种基于HTTP协议的自动测试系统，包括：

打包模块，用于将所要修改的用户名和密码组成数据包；

POST操作模块，用于将所述数据包向统一资源定位符地址进行POST操作；

页面登录模块，用于打开浏览器输入测试设备登录页面地址以进入登录页面；

填写模块，用于将所述用户名和密码填写到所述登录页面；

查找模块，用于查找登录后的元素以检查是否登录成功。

进一步优选地，该系统还包括：编码模块，将所要修改的密码进行Base64编码；所述所要修改的用户名和密码组成数据包为所要修改的用户名明码和编码后的密码组成的数据包。

进一步优选地，该系统还包括：结论输出模块，当查找模块查找到登录后的元素证明登录成功后，输出测试失败的结论，否则输出测试成功的结论。

本发明的一种基于HTTP协议的自动测试方法及系统尤其适用于各种SOHO(Small office Home office，家居办公)类WiFi产品的测试，如路由器等产品。当然，还可以用于其他通信产品的HTTP操作的同类更改用户名和密码的自动化测试。

本发明有益效果至少包括以下之一：

1、本发明完成了未经授权修改用户名密码漏洞测试，保证了通信产品的安全性。