[发明专利]自动化的支付漏洞检测系统及方法

说明书

一种自动化的支付漏洞检测系统及方法，包括：行为控制模块、攻击用例生成模块、执行模块和报告模块，其中：行为控制模块对用户在待测平台正常操作进行记录，获取用户的操作信息；攻击用例生成模块重放正常操作的同时，监听用户操作流量，生成对应的用户行为的有限状态机，并针对用户行为有限状态机进行统筹分析，并根据攻击用例生成模块的专家攻击知识库变异生成漏洞测试用例；执行模块根据测试用例内的参数信息对相应步骤的数据包进行拦截、篡改和释放，循环执行完所有的攻击短语；报告模块获取反馈信息并分析判断是否触发漏洞后统计检测结果，生成完整的检测报告。本发明实现测试用例生成、执行、反馈全过程全自动的支付逻辑漏洞检测，极大提高其在生产环境下的易普及性和可用性。

技术领域

本发明涉及的是一种信息安全领域的技术，具体是一种自动化的支付漏洞检测系统及方法。

背景技术

现有自动化的逻辑漏洞检测技术主要包括白盒和黑盒技术，其中基于白盒测试技术的检测技术：在拥有软件系统源码或二进制文件的前提下，可以基于符号执行框架和污点分析，来达到源码语义树抽象，以及进一步进行逻辑漏洞挖掘的目的。基于黑盒测试技术的检测技术：黑盒检测技术作为一种动态检测手段，并不涉及到源代码，因此相较于白盒测试缺少大量可利用信息。但是黑盒检测技术可以直观地调整输入并获取输出，并且无需源码而检测门槛更低。计算机软件程序在设计与运行过程中，无论是系统控制还是数据传输，都具有一定的共性，动态检测就是利用这些共性去完成检测。

发明内容

本发明针对现有技术存在的所述的不足，提出一种自动化的支付漏洞检测系统及方法，剔除用户需要的额外操作以及专业知识，仅基于用户操作，实现测试用例生成、执行、反馈全过程全自动的支付逻辑漏洞检测系统，极大提高其在生产环境下的易普及性和可用性。其次，该发明由用户行为驱动，同时通过信息采集与测试操作分离，统筹分析用户行为及软件系统实现更具系统性与时效性的逻辑漏洞检测。

本发明是通过以下技术方案实现的：

本发明涉及一种基于用户操作收集和有限状态机的自动化支付漏洞检测系统，包括：行为控制模块、攻击用例生成模块、执行模块和报告模块，其中：行为控制模块对用户在待测平台正常操作进行记录，获取用户的操作信息；攻击用例生成模块重放正常操作的同时，监听用户操作流量，生成对应的用户行为的有限状态机，并针对用户行为有限状态机进行统筹分析，并根据攻击用例生成模块的专家攻击知识库变异生成漏洞测试用例；执行模块根据测试用例内的参数信息对相应步骤的数据包进行拦截、篡改和释放，循环执行完所有的攻击短语；报告模块获取反馈信息并分析判断是否触发漏洞后统计检测结果，生成完整的检测报告。

所述的正常操作包括但不限于：对待测平台为购买商品的点击、输入、跳转操作。

所述的重放是指：重新执行一次记录的操作。

所述的监听是指：在重放时确保执行正常操作的同时记录操作对应的流量数据。

所述的统筹分析是指：使用构建的有限状态机，生成参数传播链并读取每个操作对应的流量数据，对WEB参数进行提取，筛选出敏感参数用于变异生成漏洞攻击的测试用例。

所述的专家攻击知识库中包含支付漏洞攻击参数变异数据。

本发明涉及一种基于上述系统的自动化的支付逻辑漏洞检测方法，通过收集正常操作信息并执行后得到对应的流量数据，并据此构建有限状态机；然后根据状态图和迁移参数生成若干攻击用例并输入执行器以进行参数篡改的攻击测试；最后根据攻击结果反馈生成系统漏洞报告。

技术效果

本发明采用收集并执行用户行为信息的方式，模拟用户操作行为，从而可以实现模拟正常用户完成购物流程，提升了对不同的在线商城系统的支付漏洞检测的通用性。另一方面，采用这种方式可以尽可能模拟真实用户操作，防止因为待测系统种种安全措施影响检测效果，更贴近于测试人员手工挖掘支付漏洞。