[发明专利]应用程序的测试方法、系统及装置有效
| 申请号: | 202010743075.4 | 申请日: | 2020-07-29 |
| 公开(公告)号: | CN111859385B | 公开(公告)日: | 2023-09-22 |
| 发明(设计)人: | 旷亚和;叶红;姜城;刘婉娇 | 申请(专利权)人: | 中国工商银行股份有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F16/17;G06F16/172 |
| 代理公司: | 中科专利商标代理有限责任公司 11021 | 代理人: | 吕朝蕙 |
| 地址: | 100140 北*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 应用程序 测试 方法 系统 装置 | ||
1.一种应用程序的测试方法,包括:
生成具有测试标识的测试信息,所述测试标识用于在被所述应用程序识别到时,禁止所述应用程序保存所述测试信息;
向所述应用程序发送所述测试信息,使所述应用程序识别所述测试标识,并根据所述测试信息进行漏洞检测;
其中,还包括:在所述应用程序识别到所述测试标识后,将所述测试标识存入所述应用程序的HTTP请求入口函数的线程共享变量中,以使所述应用程序的存储函数在执行时,调用拦截代码,获取所述线程共享变量中的测试标识,其中,所述拦截代码用于在所述应用程序的识别代码识别到所述测试标识时,禁止所述应用程序保存所述测试信息。
2.根据权利要求1所述的测试方法,其中,生成具有测试标识的测试信息包括:
获取所述应用程序的资产数据;
将所述资产数据代入数据库,以生成与所述资产数据对应的所述测试信息,其中,所述数据库内预存有不同的资产数据与不同的测试信息间的对应关系。
3.根据权利要求2所述的测试方法,其中,
所述资产数据包括所述应用程序的业务报文、所使用的第三方框架、所部署的容器以及所部署的中间件中至少一种。
4.根据权利要求1至3中任一项所述的测试方法,其中,还包括:
判断所述应用程序的漏洞检测函数是否会在未经安全处理的用户命令下执行;
若所述漏洞检测函数会在未经安全处理的用户命令下执行,则发出输出警告的信号。
5.根据权利要求4所述的测试方法,其中,
所述漏洞检测函数包括数据库操作代码、命令执行函数、文件读写函数、表达式执行函数以及反序列函数中至少一种。
6.根据权利要求4所述的测试方法,其中,
所述安全处理包括过滤以及转义中至少一种。
7.根据权利要求4所述的测试方法,其中,所述未经安全处理的用户命令包括:
从所述应用程序的HTTP请求入口函数到执行之间的过程未经所述安全处理的用户命令。
8.一种应用程序的测试系统,包括计算机可读存储介质、处理器和存储在所述计算机可读存储介质上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如权利要求1至7中任一项所述的测试方法。
9.一种应用程序的测试装置,包括:
生成模块,用于生成具有测试标识的测试信息,所述测试标识用于在被所述应用程序识别到时,禁止所述应用程序保存所述测试信息;
测试模块,用于向所述应用程序发送所述测试信息,使所述应用程序识别所述测试标识,并根据所述测试信息进行漏洞检测;
所述应用程序的测试装置还用于:在所述应用程序识别到所述测试标识后,将所述测试标识存入所述应用程序的HTTP请求入口函数的线程共享变量中,以使所述应用程序的存储函数在执行时,调用拦截代码,获取所述线程共享变量中的测试标识,其中,所述拦截代码用于在所述应用程序的识别代码识别到所述测试标识时,禁止所述应用程序保存所述测试信息。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国工商银行股份有限公司,未经中国工商银行股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010743075.4/1.html,转载请声明来源钻瓜专利网。
