[发明专利]一种无代码的流程可视化漏洞检测方法和系统

权利要求书

1.一种无代码的流程可视化漏洞检测方法，其特征在于，包括：

S1：首先对漏洞扫描中的各类测试的测试流程进行抽象封装成接口，并针对不同的测试流程，内置不同的系统变量，用于绑定测试流程的结果数据和下一个测试流程及逻辑判断中；

S2：通过可视化表单创建测试流程，程序自动序列化成封装的测试流程接口的实例，支持创建多个测试流程，对多个测试流程进行排序和衔接，生成测试流程列表，测试流程列表在漏洞测试时按创建顺序依次执行；

S3：不同的测试流程进行执行产生不同的结果数据，将所述结果数据绑定到对应的系统变量中；

S3具体包括：绑定发送HTTP请求结果的R类型变量；绑定识别并提取验证码结果的Y类型变量；绑定从响应中提取数据结果的E类型变量；绑定对数据进行处理结果的P类型变量；绑定DNS带外工具箱接口数据的T类型变量；

S4：根据各个测试流程的执行结果设置综合逻辑判断关系，根据所述综合逻辑判断关系来进行逻辑运算，以最终的逻辑运算结果判断漏洞是否存在；具体包括：设置综合逻辑判断关系，然后实例化测试流程列表，对其进行综合测试，最后进行逻辑综合判断，若综合逻辑判断为正确，则测试通过；若逻辑判断为空或错误,则测试未通过，根据执行时输出的错误信息或者查看操作流程日志详情，定位不符合预期的测试流程，进行调试、修正和改进；

测试过程中各测试流程根据测试流程列表的顺序依次执行，动态展示执行状态，执行结果通过可视化界面展示；若执行失败，可查看执行的调试输出信息，跟踪测试流程的数据和对象、系统变量的变化情况，定位异常位置。

2.根据权利要求1所述的一种无代码的流程可视化漏洞检测方法，其特征在于，S1中，测试流程包括：发送HTTP请求、延迟等待指定时间、识别提取验证码、从响应中提取数据、对数据进行处理。

3.根据权利要求1所述的一种无代码的流程可视化漏洞检测方法，其特征在于，S1中还包括设置全局变量：用户通过可视化表单创建全局变量，并为全局变量赋值，支持对全局变量添加处理规则，所述处理规则包括：前缀、后缀、反转、截取、编码字符串和解码字符串；所述处理规则在全局变量引用前生效。

4.根据权利要求3所述的一种无代码的流程可视化漏洞检测方法，其特征在于，S2中，创建的测试流程包括：

a．发送HTTP请求：输入请求数据包，支持通过可视化界面插入全局变量或系统变量，执行该测试流程时将全局变量或系统变量替换为真实数据；

b．延迟等待指定时间：用于发送请求间隔，避免频繁请求被测试服务器封禁，使用毫秒为单位；

c．识别并提取验证码：输入获取验证码图片的数据包，对复杂的验证码图片进行识别，内置了多个AI识别引擎，同时支持对识别结果的误差字符进行人工矫正；

d.从响应中提取数据：根据用户自定义规则，从其他的测试流程结果绑定的变量中的属性提取数据并绑定到全局变量或系统变量；

e．对数据进行处理：根据用户自定义的规则，对全局变量或其他测试流程结果绑定的变量进行处理，内置多种数据处理规则，包括：前缀、后缀、反转、截取、编码字符串、解码字符串、大小写转换。