[发明专利]安全测试方法及装置

说明书

本发明提供了一种安全测试方法、装置及系统，其中方法包括：在对待测产品进行功能测试过程中，复制并存储测试过程中产生的网页数据至数据库，重复上述步骤直到功能测试结束；从所述数据库中提取所述待测产品的网页数据，并发送所述待测产品的网页数据至安全测试系统；接收所述安全测试系统反馈的安全测试结果。本发明可以通过将功能测试和安全测试相结合的方式，可以简单方便地获得覆盖率比较全面的产品数据，后续基于产品数据进行安全测试，所以可以提高安全测试的覆盖率和效率。

技术领域

本申请涉及通信技术领域，尤其涉及安全测试方法及装置。

背景技术

为了保证金融行业产品(例如，银行应用、银行网站等)的安全性，需要对金融行业产品进行安全测试。

目前多采用安全测试工具进行安全测试，但是安全测试工具基于爬虫方式进行，不适用于金融行业产品。因为金融行业中的产品中很多页面需要输入内容，并且，对输入内容进行校验之后才能访问下一级页面。因此，采用爬虫方式仅能获取待测产品中一级页面和少量二级页面的产品数据，无法获取待测产品的全部数据，导致安全测试的覆盖率较低。

例如，以自动化测试工具AWVS为主导的自动化安全测试工具均采用爬虫原理进行，可以自动去爬取待测产品的各种URL链接，但此类安全测试工具在对金融行业产品进行安全测试时，存在严重适用性问题。因为金融行业产品对输入数据的限制非常严苛，随机爬去或者输入数据，无法正确进入二级或更深层页面。

目前，也有人工收集待测产品的产品数据，以发送至自动化测试工具进行安全测试。但是，人工收集产品数据需要较大工作量，导致安全测试的效率较低且覆盖率不全面。

例如，由于金融产品业务的复杂性，在测试过程之前，往往需要对测试人员进行业务培训、以便测试人员了解产品业务，并针对待测产品的业务收集产品数据，这需要投入大量时间，甚至可能在数量级上已经超过安全测试本身所需时间。同时因为对金融产品业务的缺失，测试人员在测试覆盖度上也可能存在一定的缺失。

发明内容

鉴于此，本申请提供一种安全测试方法、装置及系统，可以金融行业产品进行安全测试，且，提高安全测试的覆盖率和效率。

为了实现上述目的，本发明提供了下述技术特征：

一种安全测试方法，包括：

在对待测产品进行功能测试过程中，复制并存储测试过程中产生的网页数据至数据库，重复上述步骤直到功能测试结束；

从所述数据库中提取所述待测产品的网页数据，并发送所述待测产品的网页数据至安全测试系统；

接收所述安全测试系统反馈的安全测试结果。

可选的，所述在对待测产品进行功能测试过程中，复制并存储测试过程中产生的网页数据至数据库，重复上述步骤直到功能测试结束，包括：

在采用浏览器软件对所述待测产品进行功能测试的过程中，利用预先设置于所述浏览器软件的软件脚本，复制功能测试过程中产生的网页数据并存储所述网页数据至数据库；

重复上述步骤直到所述功能测试结束。

可选的，在重复上述步骤直到所述功能测试结束之后，还包括：

确定所述待测产品对应的待测网址；

按所述待测产品对应的待测网址，对所述数据库中的网页数据执行筛选操作；

仅保留包含有所述待测网址的网页数据。

可选的，所述从所述数据库中提取所述待测产品的网页数据，并发送所述待测产品的网页数据至安全测试系统，包括：

采用静默测试方式，实现从所述数据库中提取所述待测产品的网页数据，并发送所述待测产品的网页数据至安全测试系统。