[发明专利]自动化安全测试方法、装置、电子设备和可读存储介质

说明书

本发明实施例提供一种自动化安全测试方法、装置、电子设备和可读存储介质，通过在配置文件中填写待测信息、基于Controller层编写脚本来实现安全测试，解除了安全测试对UI层的依赖，缩短了项目的测试周期。该方法包括：将所有待测单元的待测信息填写在配置文件中，所述待测信息包括方法名和期望结果；基于Controller层编写所述待测单元的脚本；初始化并运行测试框架以启动所述脚本，获取所述配置文件，执行配置文件中各方法名对应的测试方法以得到实际结果，将实际结果和期望结果进行比对，将比对结果写到所述配置文件中。

技术领域

本发明涉及计算机技术领域，尤其涉及一种自动化安全测试方法、装置、电子设备和可读存储介质。

背景技术

传统的安全测试一般有三种方式，第一种是利用开源或商用的安全测试工具进行自动化的安全扫描；第二种是基于黑盒的安全测试方法，主要以手工的方式在页面上输入设计好的用例进行安全测试；第三种是利用静态代码扫描工具或者是静态代码走读进行的静态白盒测试。但是第一种测试方法误报率太高，第二种测试方法耗时比较长，并且由于无法剥离对UI(User Interface，用户界面)层的强依赖导致在进行安全测试过程中一旦UI层未开发完成或UI层不稳定导致安全测试无法进行。

现有技术方案实现安全测试的方式是：用户通过在用户页面上对表单等输入框进行填写后提交给Controller等三层去进行业务处理，利用BurpSuite(是用于攻击Web应用程序的集成平台)等工具对请求进行拦截，篡改、重放的一系列渗透过程，或者是利用AWVS(Acunetix Web Vulnerability Scanner，是一款网络漏洞扫描工具)等自动化扫描工具，对用户页面进行爬虫后，进行自动化安全扫描。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：

(1)前端页面还未开发完成的情况下无法进行正常的安全测试。

(2)前端页面元素经常变化的情况下导致测试结果不稳定和自动化脚本维护成本增加。

(3)被测单元依赖的模块尚未开发完成，或者依赖的模块存在BUG的情况下无法进行测试。

发明内容

有鉴于此，本发明实施例提供一种自动化安全测试方法、装置、电子设备和可读存储介质，能够将传统的白盒测试、安全测试和自动化测试的思想融合到一起，利用测试框架对Controller层进行白盒安全测试，并通过读取配置文件中维护好的测试类、测试方法，已经设计好的入参来动态组织测试场景，通过此种方式，可以剥离在安全测试过程中对UI的依赖。

为实现上述目的，根据本发明的一个方面，提供了一种自动化安全测试方法。

本发明实施例的一种自动化安全测试方法，包括：将所有待测单元的待测信息填写在配置文件中；所述待测信息包括方法名和期望结果；基于Controller层编写所述待测单元的脚本；初始化并运行测试框架以启动所述脚本，获取所述配置文件，执行配置文件中各方法名对应的测试方法以得到实际结果，将实际结果和期望结果进行比对，将比对结果写到所述配置文件中。

可选地，所述执行配置文件中各方法名对应的测试方法以得到实际结果包括：读取当前场景下所述配置文件中的待测信息，将所述待测信息依次进行组装、匹配及初始化后，将初始化后的待测信息放入字典中；执行字典中各方法名对应的测试方法以得到实际结果。

可选地，将所述待测信息依次进行组装、匹配及初始化包括：组装测试用例：对当前场景下配置文件中的类名和方法名进行去重，并对去重后的属于同一类名的多个方法名进行组装；对组装后的方法名进行排序分类；所述待测信息还包括场景名、类名和用于测试方法的入参；组装入参：对入参进行组装；匹配及初始化：对组装后的测试用例与组装后的入参进行匹配，所有需要执行的测试用例与入参匹配结束后，通过动态的反射技术将需要测试的类和入参转化成对象后，将该入参反序列化为对象。