[发明专利]一种针对B/S架构安全软件的自动化测试方法

权利要求书

1.一种针对B/S架构安全软件的自动化测试方法，其特征是通过对B/S架构安全软件的强制访问控制规则配置API接口，配置的API接口被Python脚本程序调用；通过强制访问控制软件服务端所在系统部署的远程系统命令执行程序，使远程强制访问控制规则的验证操作在本地脚本程序中完成；

强制访问控制规则配置API接口的实现过程为：抓取每个强制访问控制规则配置操作的HTTP请求，抽取需要输入的参数形成API接口；使用python脚本发送强制访问控制规则配置HTTP请求报文完成后，验证规则是否生效；

远程系统命令执行程序在本地脚本程序中的实现过程为：利用发送端和接收端，接收端运行在安全软件服务端，接收端创建socket对象，绑定本机端口，监听端口，等待发送端的连接请求，获取连接请求的socket对象，创建连接处理线程，向线程函数传入连接请求的socket对象，直到用户终止进程，否则继续返回调用连接请求的socket对象；

发送端运行在本地，发送端调用socket对象，向接收端发起连接请求，发送命令数据，接收返回的数据，如接收到结束符退出循环，关闭socket，将接收到的返回数据返回，否则继续接收返回数据。

2.根据权利要求1所述的一种针对B/S架构安全软件的自动化测试方法，其特征是所述HTTP请求包括：请求方法、URL、请求头、提交的数据；抽取的输入参数包括IP、端口、sessionID、Action、Data，其中Action为实际配置动作，Data为提交的数据。

3.根据权利要求2所述的一种针对B/S架构安全软件的自动化测试方法，其特征是所述HTTP请求在API内部根据Action进行分支判断，确定具体的URL、请求方法及请求头中的其他数据，确定提交数据的具体格式，进行HTTP请求报文的组装。

4.根据权利要求3所述的一种针对B/S架构安全软件的自动化测试方法，其特征是所述HTTP请求报文的组装过程为：向规则配置API接口传入抽取输入的参数，根据Action进行分支判断，确定请求头cookie中的sessionID值，完成HTTP请求头和确定提交数据的具体格式，根据给定的IP和端口建立HTTP连接，发送构造好的HTTP请求，接收HTTP请求响应数据并转存，关闭HTTP连接并将响应数据返回。

5.根据权利要求4所述的一种针对B/S架构安全软件的自动化测试方法，其特征是所述Action进行分支判断的过程为：根据Action的参数，确定URL的实际配置操作确定的相对路径，确定请求方法及请求方法中的其他参数，将Data参数值转化为相应的用户文件规则实际请求的数据格式。

6.根据权利要求5所述的一种针对B/S架构安全软件的自动化测试方法，其特征是所述Action进行分支判断时当Action为addFileUser，则URL为/Rule/addFileUser.action，请求方法为POST，然后确定请求头中的其他参数，将Data参数值转化为添加用户文件规则实际请求的数据格式，拼装在URL尾部；或者当Action为getFileUser，则URL为/Rule/viewFileUser.action，请求方法为GET，然后确定请求头中的其他参数，将Data参数值转化为获取用户文件规则实际请求的数据格式，拼装在URL尾部。

7.根据权利要求1或5所述的一种针对B/S架构安全软件的自动化测试方法，其特征是连接处理线程处理连接请求的socket对象的过程为：调用连接请求socket对象的recv方法计算远程命令，通过recv函数返回值判断是否有数据可接收，若无，则连接处理线程结束，若有，则执行远程命令并返回命令执行的输出，构造返回数据，调用socket对象的sendall函数将构造好的返回数据发送出去后继续调用连接请求socket对象的recv函数接收远程命令。

8.根据权利要求7所述的一种针对B/S架构安全软件的自动化测试方法，其特征是利用Popen函数执行远程命令并返回命令执行的输出，则输出为标准输出和出错输出，若出错输出为空，设置标记为0，否则设置标记为1，标记为1时构造返回数据，调用socket对象的sendall方法将构造好的返回数据发送出去后继续调用连接请求socket对象的recv方法接收远程命令。