[发明专利]一种走私攻击测试方法、装置、电子设备及存储介质

说明书

本发明提供一种走私攻击测试方法、装置、电子设备及存储介质，考虑反向代理服务器和后端服务器各自的请求解析方式，构建HTTP请求，由反向代理服务器正常识别该HTTP请求，而后端服务器则将该HTTP请求拆解至两个HTTP请求中，以此污染正常的HTTP请求，干扰网站处理一个或多个用户的HTTP请求序列，实现HTTP走私攻击。由此，辅助网络安全渗透测试人员进行安全测试，及时弥补测试漏洞，避免被攻击者利用。

技术领域

本发明涉及计算机安全技术领域，更具体地说，涉及一种走私攻击测试方法、装置、电子设备及存储介质。

背景技术

在现代基于云的应用程序中，为提升用户的浏览速度，减轻服务器的负担，许多网站都已应用CDN加速服务，即“客户端-反向代理服务器-后端服务器”的体系架构。

但多数代理服务器和后端服务器在配置和解析HTTP请求的过程是不一致的，这种类型的机制虽然原始目的在于提升用户访问速度和Web应用的安全性，但其中服务器的差异性也会带来安全风险。

发明内容

有鉴于此，为解决上述问题，本发明提供一种走私攻击测试方法、装置、电子设备及存储介质，技术方案如下：

本发明一方面提供一种走私攻击测试方法，所述方法包括：

获取目标应用程序对应的反向代理服务器和后端服务器各自的请求解析方式；

基于所述反向代理服务器和所述后端服务器各自的请求解析方式，构建HTTP请求，所述HTTP请求的请求头包含表征实体长度的第一字段和/或表征传输编码的第二字段；

将所述HTTP请求发送至所述反向代理服务器，以实现：

所述反向代理服务器按照第一目标字段识别所述HTTP请求，并在识别正常的情况下转发所述HTTP请求至所述后端服务器；所述后端服务器按照第二目标字段识别所述HTTP请求，并在所述HTTP请求拆解至两个HTTP请求中的情况下报错，所述第一目标字段包括所述第一字段或者所述第二字段，所述第二目标字段包括所述第一字段或者所述第二字段。

可选的，所述构建HTTP请求，包括：

构建包含一个所述第一字段的第一HTTP请求；

相应的，所述反向代理服务器按照第一目标字段识别所述HTTP请求，包括：

所述反向代理服务器按照所述第一字段识别所述第一HTTP请求；

相应的，所述后端服务器按照第二目标字段识别所述HTTP请求，并在所述HTTP请求拆解至两个HTTP请求中的情况下报错，包括：

所述后端服务器以忽略所述第一字段识别的方式识别所述第一HTTP请求，并将所述第一HTTP请求拆解为两个正常的子HTTP请求；响应每个子HTTP请求，在响应内容中包含未授权内容的情况下报错。

可选的，所述构建HTTP请求，包括：

构建包含两个所述第一字段的第二HTTP请求，两个所述第一字段的内容不相同；

相应的，所述反向代理服务器按照第一目标字段识别所述HTTP请求，包括：

所述反向代理服务器按照其中一个所述第一字段识别所述第二HTTP请求；

相应的，所述后端服务器按照第二目标字段识别所述HTTP请求，包括：

所述后端服务器按照另一个所述第一字段识别所述第二HTTP请求。

可选的，所述构建HTTP请求，包括：

构建包含一个所述第一字段和一个所述第二字段的第三HTTP请求；