[发明专利]一种安全测试系统和方法

权利要求书

1.一种安全测试系统，其特征在于，包括：

访问日志记录装置，用于针对在线应用程序，将用户访问请求的特征数据保存到访问日志记录中，其中，所述用户访问请求包括正常访问请求和异常访问请求；

访问日志提取装置，用于从在线应用程序的访问日志记录中提取与异常访问请求相应的访问日志记录；及

访问测试装置，用于使用模糊测试脚本进行异常访问请求的重放攻击，并依据返回的响应判断漏洞是否存在。

2.如权利要求1所述的系统，其特征在于，所述访问测试装置包括：

注入模块，用于通过恶意参数将脚本代码数据注入到在线应用程序的页面中，其中，所述脚本代码用于描述异常访问请求的特征数据；

判断模块，用于判断所述恶意参数是否在在线应用程序的页面中原始存在，若是，则认为漏洞存在，否则，认为漏洞不存在。

3.一种安全测试方法，其特征在于，包括：

针对在线应用程序，将用户访问请求的特征数据保存到访问日志记录中，其中，所述用户访问请求包括正常访问请求和异常访问请求；

从在线应用程序的访问日志记录中提取与异常访问请求相应的访问日志记录；

使用模糊测试脚本进行异常访问请求的重放攻击，并依据返回的响应判断漏洞是否存在。

4.如权利要求3所述的方法，其特征在于，还包括：

针对在线应用程序，将其功能测试过程中测试访问请求的特征数据保存至测试日志记录中；

使用模糊测试脚本进行测试访问请求的重放攻击，并依据返回的响应判断漏洞是否存在。

5.如权利要求3所述的方法，其特征在于，所述从在线应用程序的访问日志记录中提取与异常访问请求相应的访问日志记录的步骤，包括：

依据异常访问请求的攻击特征配置相应的提取规则；

将所述访问日志记录映射为数据库表，并依据所述提取规则，从所述数据库表中查询提取得到与异常访问请求相应的访问日志记录。

6.如权利要求3所述的方法，其特征在于，所述针对在线应用程序，将用户访问请求的特征数据保存到访问日志记录中的步骤，包括：

对在线应用程序的所有页面注入脚本代码，并依据所述脚本代码取得用户访问请求的特征数据；

将用户访问请求的特征数据保存到访问日志记录中。

7.如权利要求3所述的方法，其特征在于，所述使用模糊测试脚本进行异常访问请求的重放攻击，并依据返回的响应判断漏洞是否存在的步骤，包括：

通过恶意参数将脚本代码数据注入到在线应用程序的页面中，其中，所述脚本代码用于描述异常访问请求的特征数据；

判断所述恶意参数是否在在线应用程序的页面中原始存在，若是，则认为漏洞存在，否则，认为漏洞不存在。

8.如权利要求3所述的方法，其特征在于，所述从在线应用程序的访问日志记录中提取与异常访问请求相应的访问日志记录的步骤为，针对保存时间大于预置时间间隔的在线应用程序的访问日志记录，从中提取与异常访问请求相应的访问日志记录。

9.如权利要求3至8中任一项所述的方法，其特征在于，所述用户访问请求的特征数据至少包括用户访问页面的IP地址、用户访问页面的来源页面地址、用户在当前页面的身份认证信息、URL、请求参数、用户账号、代理服务器信息、会话cookies、时间戳中的一种或多种。

10.如权利要求3至8中任一项所述的方法，其特征在于，所述访问日志记录位于hadoop分布式文件系统中。