[发明专利]安全测试方法、装置、测试设备以及介质

权利要求书

1.一种安全测试方法，应用于测试设备，所述方法包括：

获取待测试应用服务器的运行数据，其中，所述运行数据包括所述待测试应用服务器响应业务请求并运行应用服务时生成的数据，所述业务请求包括请求参数；

基于所述运行数据，确定所述请求参数的执行路径；

基于所述执行路径，确定所述应用服务是否存在风险信息；

响应于确定所述应用服务存在风险信息，基于所述风险信息和所述业务请求生成测试数据；以及

将所述测试数据发送至所述待测试应用服务器，以便所述待测试应用服务器响应于所述测试数据运行所述应用服务以生成测试结果，所述测试结果用于表征所述应用服务是否存在安全问题。

2.根据权利要求1所述的方法，其中，所述确定所述应用服务是否存在风险信息包括以下至少一项：

所述应用服务在运行时采用了风险函数；以及

所述应用服务在运行时未对所述业务请求中的所述请求参数进行预定处理，

其中，所述预定处理包括验证处理和过滤处理中的至少一个。

3.根据权利要求1或2所述的方法，其中，所述基于所述风险信息和所述业务请求生成测试数据包括：

基于所述风险信息确定所述业务请求中的风险参数；

获取测试参数；以及

将所述业务请求中的所述风险参数更新为所述测试参数，得到更新后的业务请求作为所述测试数据。

4.根据权利要求1所述的方法，还包括：

从所述待测试应用服务器获取所述测试结果；以及

基于所述测试结果，确定所述应用服务是否存在安全问题。

5.根据权利要求4所述的方法，其中，所述测试结果包括以下至少一项：

针对所述测试数据生成的响应数据；

所述待测试应用服务器的性能参数；以及

所述待测试应用服务器的进程状态。

6.根据权利要求1所述的方法，其中，所述测试设备包括插桩探针；所述方法还包括在获取待测试应用服务器的运行数据之前：

将所述插桩探针部署到所述待测试应用服务器中，以便所述测试设备通过所述插桩探针获取所述运行数据。

7.一种安全测试装置，应用于测试设备，所述装置包括：

第一获取模块，获取待测试应用服务器的运行数据，其中，所述运行数据包括所述待测试应用服务器响应业务请求并运行应用服务时生成的数据，所述业务请求包括请求参数；

第一确定模块，基于所述运行数据，确定所述请求参数的执行路径；

第二确定模块，基于所述执行路径，确定所述应用服务是否存在风险信息；

生成模块，响应于确定所述应用服务存在风险信息，基于所述风险信息和所述业务请求生成测试数据；以及

发送模块，将所述测试数据发送至所述待测试应用服务器，以便所述待测试应用服务器响应于所述测试数据运行所述应用服务以生成测试结果，所述测试结果用于表征所述应用服务是否存在安全问题。

8.根据权利要求7所述的装置，其中，所述确定所述应用服务是否存在风险信息包括以下至少一项：

所述应用服务在运行时采用了风险函数；以及

所述应用服务在运行时未对所述业务请求中的所述请求参数进行预定处理，

其中，所述预定处理包括验证处理和过滤处理中的至少一个。

9.一种测试设备，包括：

一个或多个处理器；

存储器，用于存储一个或多个程序，

其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现权利要求1至6中任一项所述的方法。

10.一种计算机可读存储介质，存储有计算机可执行指令，所述指令在被执行时用于实现权利要求1至6中任一项所述的方法。