[发明专利]基于接口参数分类的安全测试方法、装置及存储介质

说明书

本发明涉及安全测试技术领域，提供一种基于接口参数分类的安全测试方法、电子设备、装置及存储介质，其中的方法包括：获取待测试接口的接口文档，并提取所述接口文档中的参数分类信息；根据预设的分类规则对所述参数分类信息进行分类，以得到分类结果；自预设的测试用例集内获取与所述分类结果相匹配的实时测试用例，并通过所述实时测试用例对所述待测试接口进行安全渗透测试，以得到所述待测试接口的测试响应结果；根据所述测试响应结果判断所述待测试接口是否存在安全漏洞。本发明提供的技术方案既能够解决现有的接口安全测试方法的针对性低，无法接近真实使用场景，存在盲测、漏测等现象的问题。

技术领域

本发明涉及安全测试技术领域，尤其涉及一种基于接口参数分类的安全测试方法、装置、电子设备及存储介质。

背景技术

在计算机软件测试过程中，对于某一软件来说，由于该软件使用的场景多种多样，因此，为保证该软件上线时适配各类场景，需要对该软件的接口进行安全测试。

目前的接口安全测试通常采用人工的测试方法，然而，采用人工测试存在安全测试数据准备周期长、且容易出错及存在漏检的情况；并且，由于安全渗透测试执行时间长，因此经常出现与项目交互周期存在相冲突情况。

除此之外，在现有的接口安全测试方法中，还存在以下的不足之处：

1、现有的接口安全测试方法没有自动识别参数分类及其对应的位置的功能：如在HTTP请求接口时，不能判定有哪些参数归属于request header，有哪些参数归属于requestbody。

2、现有的接口安全测试方法没无法自动识别参数类型：如在HTTP请求接口时，由于当前软件开发的众多化，接口参数的类型定义难以做明确的归类，不能实现对各参数的类型进行分类。

由于现有的接口安全测试方法存在以上两个技术问题，因此在执行接口安全测试的时候，容易导致测试时无法接近真实使用场景，存在盲测、漏测等现象，无法对接口进行针对性的进行安全渗透测试。

基于此，亟需一种具有针对性的接口安全渗透测试方法。

发明内容

本发明提供一种基于接口参数分类的安全测试方法、装置、电子设备以及存储介质，其主要目的在于解决现有的接口安全测试方法的针对性低，无法接近真实使用场景，存在盲测、漏测等现象的问题。

为实现上述目的，本发明提供一种基于接口参数分类的安全测试方法，该方法包括如下步骤：

获取待测试接口的接口文档，并提取所述接口文档中的参数分类信息；

根据预设的分类规则对所述参数分类信息进行分类，以得到分类结果；

自预设的测试用例集内获取与所述分类结果相匹配的实时测试用例，并通过所述实时测试用例对所述待测试接口进行安全渗透测试，以得到所述待测试接口的测试响应结果；

根据所述测试响应结果判断所述待测试接口是否存在安全漏洞。

优选地，所述提取接口文档中的参数分类信息包括：

根据预设的正则解析方法对所述接口文档中保存所有接口信息进行解析，以提取出所述接口文档中的所述参数分类信息。

优选地，所述参数分类信息包括请求参数分类信息和业务参数分类信息；并且，所述根据预设的分类规则对所述参数分类信息进行分类，以得到分类结果包括：

根据预设的关键字匹配分类规则对所述请求参数分类信息进行分类，以得到请求参数分类结果；

根据预设的映射分类规则对所述业务参数分类信息进行分类，以得到业务参数分类结果。