[发明专利]一种测试方法、装置及电子设备有效
| 申请号: | 202011485053.9 | 申请日: | 2020-12-16 |
| 公开(公告)号: | CN112671605B | 公开(公告)日: | 2023-07-11 |
| 发明(设计)人: | 程东旭;阳骁尧;夏伟;邹为;涂耀旭;郑娜威;毛道娟 | 申请(专利权)人: | 建信金融科技有限责任公司 |
| 主分类号: | H04L43/50 | 分类号: | H04L43/50;H04L9/40 |
| 代理公司: | 北京三友知识产权代理有限公司 11127 | 代理人: | 贾磊;李辉 |
| 地址: | 200120 上海市自由*** | 国省代码: | 上海;31 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 测试 方法 装置 电子设备 | ||
1.一种测试方法,其特征在于,所述方法包括:
抓取待测系统向目标接口发送的请求报文;所述请求报文基于安全校验项生成;所述安全校验项表示所述待测系统所要校验的安全风险;所述安全校验项包括重放攻击和越权攻击中的至少一种;
在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;
将所述响应报文与所述请求报文的预期响应报文进行对比,基于对比结果得到所述待测系统的测试结果;
其中,在所述安全校验项为重放攻击的情况下,所述请求报文包括通过待测系统向目标接口发送请求报文的用户的身份认证凭据;在所述安全校验项为越权攻击的情况下,所述请求报文包括请求获取通过待测系统向目标接口发送请求报文的用户的数据操作权限;
若所述安全校验项为重放攻击,所述将所述响应报文与所述请求报文的预期响应报文进行对比,基于对比结果得到所述待测系统的测试结果包括:在所述响应报文包括身份认证失败信息的情况下,所述测试结果为测试通过;若所述安全校验项为越权攻击,所述将所述响应报文与所述请求报文的预期响应报文进行对比,基于对比结果得到所述待测系统的测试结果包括:在所述响应报文包括请求失败信息的情况下,所述测试结果为测试通过;
所述方法还包括:将所述安全校验项写入配置文件中,以便于动态更改所述安全校验项。
2.根据权利要求1所述的方法,其特征在于,在所述安全校验项为重放攻击的情况下,所述请求报文的预期响应报文包括身份认证失败信息。
3.根据权利要求2所述的方法,其特征在于,所述将所述响应报文与所述请求报文的预期响应报文进行对比,基于对比结果得到所述待测系统的测试结果包括:
在所述响应报文包括身份认证成功信息的情况下,所述测试结果为测试不通过。
4.根据权利要求1所述的方法,其特征在于,在所述安全校验项为越权攻击的情况下,所述所述请求报文的预期响应报文包括请求失败信息。
5.根据权利要求4所述的方法,其特征在于,所述将所述响应报文与所述请求报文的预期响应报文进行对比,基于对比结果得到所述待测系统的测试结果包括:
在所述响应报文包括请求通过信息的情况下,所述测试结果为不测试通过。
6.根据权利要求1-5任意一项所述的方法,其特征在于,所述方法还包括:
模拟登录所述待测系统,以便于获取请求所述目标接口的权限。
7.一种测试装置,其特征在于,所述装置包括:
抓取模块,用于抓取待测系统向目标接口发送的请求报文;所述请求报文基于安全校验项生成;所述安全校验项表示所述待测系统所要校验的安全风险;所述安全校验项包括重放攻击和越权攻击中的至少一种;
发送模块,用于在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;
对比模块,用于将所述响应报文与所述请求报文的预期响应报文进行对比,基于对比结果得到所述待测系统的测试结果;
其中,在所述安全校验项为重放攻击的情况下,所述请求报文包括通过待测系统向目标接口发送请求报文的用户的身份认证凭据;在所述安全校验项为越权攻击的情况下,所述请求报文包括请求获取通过待测系统向目标接口发送请求报文的用户的数据操作权限;
若所述安全校验项为重放攻击,所述将所述响应报文与所述请求报文的预期响应报文进行对比,基于对比结果得到所述待测系统的测试结果包括:在所述响应报文包括身份认证失败信息的情况下,所述测试结果为测试通过;若所述安全校验项为越权攻击,所述将所述响应报文与所述请求报文的预期响应报文进行对比,基于对比结果得到所述待测系统的测试结果包括:在所述响应报文包括请求失败信息的情况下,所述测试结果为测试通过;
所述测试装置还用于:将所述安全校验项写入配置文件中,以便于动态更改所述安全校验项。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于建信金融科技有限责任公司,未经建信金融科技有限责任公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011485053.9/1.html,转载请声明来源钻瓜专利网。
- 上一篇:板级封装结构机械加载装置
- 下一篇:一种可以按压进行散热除尘的组合音响装置





