[发明专利]基于接口参数分类的安全测试方法、装置及存储介质

权利要求书

1.一种基于接口参数分类的安全测试方法，应用于电子装置，其特征在于，所述方法包括：

获取待测试接口的接口文档，并提取所述接口文档中的参数分类信息；

根据预设的分类规则对所述参数分类信息进行分类，以得到分类结果；

自预设的测试用例集内获取与所述分类结果相匹配的实时测试用例，并通过所述实时测试用例对所述待测试接口进行安全渗透测试，以得到所述待测试接口的测试响应结果；

根据所述测试响应结果判断所述待测试接口是否存在安全漏洞；其中，所述参数分类信息包括请求参数分类信息和业务参数分类信息，所述请求参数分类信息包括接口headers信息和接口http method信息；所述业务参数分类信息包括所述待测试接口的参数列表中的所有参数列表信息；所述根据预设的分类规则对所述参数分类信息进行分类，以得到分类结果包括：

通过关键字匹配分类规则对所述接口headers信息进行分类，以得到headers信息分类结果；

通过所述关键字匹配分类规则对所述http method信息进行分类，以得到method信息分类结果；

对所述headers信息分类结果和所述method信息分类结果进行组合，以得到请求参数分类结果；

并且，所述根据预设的分类规则对所述参数分类信息进行分类，以得到分类结果还包括：根据预设的映射关系分别映射出各参数列表信息的键值类型；根据所述键值类型确定各参数列表信息的业务参数分类结果。

2.根据权利要求1所述的基于接口参数分类的安全测试方法，其特征在于，所述提取接口文档中的参数分类信息包括：

根据预设的正则解析方法对所述接口文档中保存的所有接口信息进行解析，以提取出所述接口文档中的所述参数分类信息。

3.根据权利要求1所述的基于接口参数分类的安全测试方法，其特征在于，所述自预设的测试用例集内获取与所述分类结果相匹配的实时测试用例，并通过所述实时测试用例对所述待测试接口进行安全渗透测试，以得到所述待测试接口的测试响应结果包括：

根据所述请求参数分类结果和各参数列表信息的业务参数分类结果遍历所述测试用例集的所有测试用例，以得到所有的与所述请求参数分类结果以及各参数列表信息的业务参数分类结果相匹配的实时测试用例；其中，各实时测试用例的请求方式与所述请求参数分类结果对应，各实时测试用例的业务类型与相应的参数列表信息的业务参数分类结果对应；

依次通过各实时测试用例对所述待测试接口进行安全渗透测试，以得到所述待测试接口与各实时测试用例相对应的测试响应结果。

4.根据权利要求3所述的基于接口参数分类的安全测试方法，其特征在于，测试响应结果包括产生通过响应和未产生通过响应；并且，所述根据所述测试响应结果判断所述待测试接口是否存在安全漏洞包括：

若所述待测试接口在各实时测试用例下的测试响应结果均为未产生通过响应，则判断所述待测试接口不存在安全漏洞；

否则，判断所述待测试接口存在安全漏洞。