[发明专利]一种系统测试方法、装置、设备及存储介质

权利要求书

1.一种系统测试方法，其特征在于，包括：

获取所有待测试用户登录待测试系统时生成的身份验证数据；

根据各所述身份验证数据，形成各所述待测试用户的测试身份数据集；

控制各所述待测试用户根据对应测试身份数据集中的测试身份数据执行访问测试操作，得到访问结果集；

当所述访问结果集包含成功访问的访问结果时，确定所述待测试系统存在越权访问风险。

2.根据权利要求1所述的系统测试方法，其特征在于，所述根据各所述身份验证数据，形成各所述待测试用户的测试身份数据集，包括：

从各所述待测试用户中选取一个目标用户，将除所述目标用户外的其他待测试用户作为候选用户；

依次基于所述候选用户的身份验证数据参数化所述目标用户的身份验证数据，生成对应的测试身份数据，形成目标用户的测试身份数据集；

返回重新选取目标用户，直至各所述待测试用户全部被选取。

3.根据权利要求1所述的系统测试方法，其特征在于，所述控制各所述待测试用户根据对应测试身份数据集中的测试身份数据执行访问测试操作，得到访问结果集，包括：

针对每个待测试用户，从所述待测试用户对应的测试身份数据集中选取一个目标测试身份数据；

控制所述待测试用户基于所述目标测试身份数据访问所述待测试系统，得到访问结果，并将所述访问结果添加至访问结果集；

返回重新选取目标测试身份数据，直至所述待测试用户对应的测试身份数据集中的测试身份数据全部被选取。

4.根据权利要求1所述的系统测试方法，其特征在于，在获取所有待测试用户登录待测试系统时生成的身份验证数据之后，还包括：

将各所述身份验证数据设置成所述待测试系统的环境变量。

5.根据权利要求1所述的系统测试方法，其特征在于，在确定所述待测试系统存在越权访问风险之后，还包括：

根据访问结果为成功访问的访问测试操作，确定所述待测试系统存在的越权访问类别。

6.根据权利要求5所述的系统测试方法，其特征在于，所述根据访问结果为成功访问的访问测试操作，确定所述待测试系统存在的越权访问类别，包括：

确定访问结果为成功访问的访问测试操作为越权访问操作，所述越权访问操作对应的待测试用户为越权访问用户；

将所述越权访问用户执行越权访问操作时使用的测试身份数据确定为越权身份数据，生成所述越权身份数据的身份验证数据对应的待测试用户确定为信息泄露用户；

根据所述越权访问用户和所述信息泄露用户的用户权限等级，确定所述待测试系统存在的越权访问类别。

7.根据权利要求5所述的系统测试方法，其特征在于，在确定所述待测试系统存在的越权访问类别之后，还包括：

根据所述待测试系统存在的越权访问类别，进行相应的报警提示。

8.一种系统测试装置，其特征在于，包括：

身份验证数据获取模块，用于获取所有待测试用户登录待测试系统时生成的身份验证数据；

测试身份数据生成模块，用于根据各所述身份验证数据，形成各所述待测试用户的测试身份数据集；

访问测试操作执行模块，用于控制各所述待测试用户根据对应测试身份数据集中的测试身份数据执行访问测试操作，得到访问结果集；

越权访问风险判断模块，用于当所述访问结果集包含成功访问的访问结果时，确定所述待测试系统存在越权访问风险。

9.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1-7中任一所述的系统测试方法。

10.一种包含计算机可执行指令的存储介质，其特征在于，所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-7中任一所述的系统测试方法。