[发明专利]识别程序漏洞的方法、装置、存储介质和电子设备

说明书

本发明揭示了一种识别程序漏洞的方法，用于对基于客户端和服务器架构的程序进行漏洞检测，所述方法包括：根据所述客户端发送的上行数据和所述服务器发送的下行数据，确定存在对应关系并符合测试对象条件的上行协议和下行协议；将与所述上行协议关联的测试数据传送至所述客户端执行；以及基于来自所述服务器的与所述下行协议关联的返回数据确定是否存在漏洞。本方案基于确定出存在对应关系的上行协议和下行协议，通过发送测试数据给客户端执行，并对服务器的响应进行分析，能够自动执行程序漏洞的检测识别，提高了测试效率。

技术领域

本发明涉及计算机技术领域，特别涉及一种识别程序漏洞的方法和装置、计算机可读存储介质以及电子设备。

背景技术

随着互联网技术特别是移动网络的飞速发展，越来越多的软件服务提供方采用服务器配合客户端的形式来提供服务。以社交软件为例，用户与客户端程序交互中产生的一些重要数据(例如鉴权、支付等信息)，都需要发送给服务器端进行后续处理。又以游戏软件为例，用户在客户端程序的一些关键操作(例如登陆、内购等)，都由服务器端进行相应处理后反馈给客户端。

客户端服务器(CS，Client-Server)架构的程序在出现漏洞时，由于会影响到服务器的安全，乃至会影响所有用户的信息安全和使用体验，因此其与仅在单机运行的程序相比，程序漏洞的识别显得尤为重要。

目前对于CS架构程序的漏洞测试，完全依赖人工分析风险，通过手动构造测试数据由客户端发送至服务器端，进而基于观察客户端和服务器的表现，来判断是否存在相应的漏洞。这种漏洞识别手段的成功率，完全依赖于测试人员的技能和经验，因此可靠性难以保证，漏洞挖掘的效率、广度和深度都比较低。

发明内容

为了解决相关技术中完全依赖测试人员手动操作识别程序漏洞的问题，本发明提供了一种识别程序漏洞的方法和装置、计算机可读存储介质以及电子设备。

根据本发明的实施例，提供一种识别程序漏洞的方法，用于对基于客户端和服务器架构的程序进行漏洞检测，所述方法包括：根据所述客户端发送的上行数据和所述服务器发送的下行数据，确定存在对应关系并符合测试对象条件的上行协议和下行协议；将与所述上行协议关联的测试数据传送至所述客户端执行；以及基于来自所述服务器的与所述下行协议关联的返回数据确定是否存在漏洞。

根据本发明的实施例，提供一种识别程序漏洞的装置，用于对基于客户端和服务器架构的程序进行漏洞检测，包括：绑定模块，用于根据所述客户端发送的上行数据和所述服务器发送的下行数据，确定存在对应关系并符合测试对象条件的上行协议和下行协议；测试模块，用于将与所述上行协议关联的测试数据传送至所述客户端执行；以及确定模块，用于基于来自所述服务器的与所述下行协议关联的返回数据确定是否存在漏洞。

根据本发明的实施例，提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的识别程序漏洞的方法。

根据本发明的实施例，提供一种电子设备，包括：处理器；以及存储器，所述存储器上存储有计算机可读指令，所述计算机可读指令被所述处理器执行时实现如上所述的识别程序漏洞的方法。

本发明的实施例提供的识别程序漏洞的方案，基于确定出存在对应关系的上行协议和下行协议，通过发送测试数据给客户端执行，并对服务器的响应进行分析，能够自动执行程序漏洞的检测识别，提高了测试效率。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本发明。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并于说明书一起用于解释本发明的原理。

图1示出了可以应用本发明实施例识别程序漏洞的方法或装置的示例性系统架构的示意图。

图2示出了适于用来实现本发明实施例的电子设备的计算机系统的结构示意图。