[发明专利]一种系统测试方法、装置、设备及存储介质

说明书

本发明公开了一种系统测试方法、装置、设备及存储介质。该方法包括：获取所有待测试用户登录待测试系统时生成的身份验证数据；根据各所述身份验证数据，形成各所述待测试用户的测试身份数据集；控制各所述待测试用户根据对应测试身份数据集中的测试身份数据执行访问测试操作，得到访问结果集；当所述访问结果集包含成功访问的访问结果时，确定所述待测试系统存在越权访问风险。本发明可以有效检测待测试系统的用户登录安全性。

技术领域

本发明实施例涉及软件测试技术领域，尤其涉及一种系统测试方法、装置、设备及存储介质。

背景技术

随着互联网技术的发展，人们在日常生活的各个场景都会使用不同的应用系统，目前应用系统普遍为前后端分离，前端使用vue、React、angular等技术，后端提供接口，这使前后端角色分工更明确，对系统项目的研发质量提供了更好的保障。

一般情况下，应用系统的一个前端对应多个后端，每个后端都提供一个访问接口，在用户访问系统的过程中，进入后端的访问接口时会进行登录验证，验证通过后将有效cookie返回给用户。

在一些领域中，安全问题极为重要，例如银行等金融业务的操作过程，使用的系统是否安全是人们关注的一个重点。如果某些用户在使用银行系统的过程中，非法获取其他用户的有效cookie进行系统访问，可能会造成严重的经济损失，因此，对系统使用过程中的用户安全访问进行检测是必不可少的。

发明内容

本发明提供一种系统测试方法、装置、设备及存储介质，以实现有效检测待测试系统的用户登录安全性。

第一方面，本发明实施例提供了一种系统测试方法，包括：

获取所有待测试用户登录待测试系统时生成的身份验证数据；

根据各所述身份验证数据，形成各所述待测试用户的测试身份数据集；

控制各所述待测试用户根据对应测试身份数据集中的测试身份数据执行访问测试操作，得到访问结果集；

当所述访问结果集包含成功访问的访问结果时，确定所述待测试系统存在越权访问风险。

可选的，所述根据各所述身份验证数据，形成各所述待测试用户的测试身份数据集，包括：

从各所述待测试用户中选取一个目标用户，将除所述目标用户外的其他待测试用户作为候选用户；

依次基于所述候选用户的身份验证数据参数化所述目标用户的身份验证数据，生成对应的测试身份数据，形成目标用户的测试身份数据集；

返回重新选取目标用户，直至各所述待测试用户全部被选取。

可选的，所述控制各所述待测试用户根据对应测试身份数据集中的测试身份数据执行访问测试操作，得到访问结果集，包括：

针对每个待测试用户，从所述待测试用户对应的测试身份数据集中选取一个目标测试身份数据；

控制所述待测试用户基于所述目标测试身份数据访问所述待测试系统，得到访问结果，并将所述访问结果添加至访问结果集；

返回重新选取目标测试身份数据，直至所述待测试用户对应的测试身份数据集中的测试身份数据全部被选取。

可选的，在获取所有待测试用户登录待测试系统时生成的身份验证数据之后，还包括：

将各所述身份验证数据设置成所述待测试系统的环境变量。

可选的，在确定所述待测试系统存在越权访问风险之后，还包括：

根据访问结果为成功访问的访问测试操作，确定所述待测试系统存在的越权访问类别。