[发明专利]基于SOAP消息最坏差异输入变异的Web Service脆弱性测试方法

权利要求书

1.基于SOAP消息最坏差异输入变异的Web Service 脆弱性测试方法，其特征在于，包括以下步骤：

步骤1，首先根据待测的URL进行地址获取Web服务的接口信息；

步骤2，通过解析WSDL协议得到相对应的SOAP消息格式，分析消息的参数个数和类型；

步骤3，根据SOAP消息参数的个数和类型调用最远邻测试用例生成算法生成测试用例；

步骤4，针对Web服务特点设计变异算子，选择相应的算子将SOAP消息的参数值进行变异；

步骤5，生成的测试用例及变异值作用于SOAP消息，观察客户端接收的响应消息，并进行安全性分析。

2.根据权利要求1所述的方法，其特征在于：上述步骤3所述的最远邻测试用例生成算法的具体步骤如下：

步骤3.1，若SOAP消息参数个数为一个，判断参数类型，若参数为数值型参数，调用BRA算法，将数值翻转，或转换为二进制形式按位翻转产生下一个最远邻的测试用例；若参数为字符串类型，调用算法ResStr算法，把字符串逆置；

步骤3.2，若SOAP消息参数有两个，根据输入域的类型求下一个最远邻测试用例，若输入域为正方形区域，调用NFDT算法，若输入域为圆形区域，调用CFDT算法，若输入域为曲线，对输入域函数求导；

步骤3.3，若SOAP消息参数超过3个，根据多维变量加权明氏距离算法或逆概率输入分布函数算法进行计算得到下一个最远邻测试用例。

3.根据权利要求1所述的方法，其特征在于：所述步骤4所述的Web服务脆弱性变异算子由SOAP输入参数的类型设计，15种有效的变异算子，分别为节点值置空格算子SVB、节点值置NULL算子SVN、插入参数运算符算子IPO、删除节点算子DNS、格式化字符串算子FVS、整型非常规值算子IIV、浮点型非常规值算子FIV、字符型非常规值算子CIV、交换节点顺序算子EOV、交换SOAP消息参数算子EON、随机非常规字符串算子RSV、超长字符串算子LSV、URL及文件路径字符串算子UVF、SQL字符串注入算子SSI、SOAP参数翻转算子PFB。