[发明专利]一种自动化攻击测试方法及基于此的自动化安全测试方法

权利要求书

1.一种自动化攻击测试的方法，用于在安全测试过程中向服务端目标程序发起攻击测试，其特征在于，该方法包括：

接收/获取/捕获自客户端发往服务端的第一合法请求报文；

根据目标程序中处理第一合法请求报文的内部逻辑结构，确定第一类型漏洞集合；第一类型漏洞集合中包括至少一种第一类型漏洞；

根据所述集合中的每一种第一类型漏洞，构造与所述漏洞类型对应的有效载荷，替换第一合法请求报文中对应的原始载荷，生成验证所述第一类型漏洞的第一攻击测试报文；

向服务端发送第一攻击测试报文，向服务端发起针对性的攻击测试；第一攻击测试报文，用于诱发目标程序中对应的第一类型漏洞。

2.根据权利要求1所述的方法，其特征在于，

通过对目标程序插桩探针，使在目标程序中插桩探针监控目标程序中处理第一合法请求报文的过程，进而获取所述内部逻辑结构。

3.根据权利要求2所述的方法，其特征在于，

所述的对目标程序插桩探针，是对目标程序中的关键函数插桩探针，使在目标程序中关键函数的插桩探针监控目标程序中处理第一合法请求报文的过程，准确获取该处理过程的内部逻辑结构。

4.根据权利要求1所述的方法，其特征在于，

在客户端和服务端间设置代理，通过代理捕获自客户端发往服务端的第一合法请求报文。

5.根据权利要求1所述的方法，其特征在于，

所述自动化攻击测试的方法，部署在测试端，使测试端在接收、获取或者捕获自客户端发往服务端的第一合法请求报文后，自动化地对服务端目标程序发起攻击测试。

6.根据权利要求5所述的方法，其特征在于，

由外部输入已确定的第一类型漏洞集合，减少在测试端执行所述的确定第一类型漏洞集合的操作；

所述的自动化攻击测试方法，包括：

接收/获取/捕获自客户端发往服务端的第一合法请求报文；

同时，接收/获取外部输入的对应第一合法请求报文的第一类型漏洞集合信息；第一类型漏洞集合中包括至少一种第一类型漏洞；

根据所述集合中的每一种第一类型漏洞，构造与所述漏洞类型对应的有效载荷，替换第一合法请求报文中对应的原始载荷，生成验证所述第一类型漏洞的第一攻击测试报文；

向服务端发送第一攻击测试报文，向服务端发起针对性的攻击测试；第一攻击测试报文，用于诱发目标程序中对应的第一类型漏洞。

7.一种自动化的灰盒安全测试方法/黑盒安全测试方法，其特征在于，该方法包括：

执行权利要求1-6任一所述的自动化攻击测试的方法，产生攻击测试流量，攻击服务端目标程序；

对应地，监控目标程序中与攻击测试相关的内部反应，验证、定位与之相关的漏洞/接收反馈的攻击测试相关的响应报文，根据验证规则，判断是否潜藏与之相关的漏洞。

8.一种自动化攻击测试装置，用于在安全测试过程中向服务端目标程序发起攻击测试，其特征在于，该装置包括：目标获取模块、攻击测试模块和分析模块；其中，

目标获取模块，被配置为获取或接收第一合法请求报文；

分析模块，则被配置为根据目标获取模块的第一合法请求报文、以及目标程序中处理第一合法请求报文的内部逻辑结构，分析确定与第一合法请求对应的第一类型漏洞集合信息；第一类型漏洞集合中包括至少一种第一类型漏洞；

攻击测试模块，被配置为根据所述集合信息中的第一类型漏洞信息，构造与所述漏洞类型对应的有效载荷，替换第一合法请求报文中对应的原始载荷，生成验证所述第一类型漏洞的第一攻击测试报文；向服务端发送第一攻击测试报文；第一攻击测试报文，用于诱发目标程序中对应的第一类型漏洞。

9.根据权利要求8所述的装置，其特征在于，

分析模块中的用作确定第一类型漏洞集合依据的目标程序中处理第一合法请求报文的内部逻辑结构，是通过对目标程序插桩探针、并使所述插桩探针监控目标程序中处理第一合法请求报文的过程而获取的。