[发明专利]一种测试方法、装置及电子设备

权利要求书

1.一种测试方法，其特征在于，所述方法包括：

抓取待测系统向目标接口发送的请求报文；所述请求报文基于安全校验项生成；所述安全校验项表示所述待测系统所要校验的安全风险；所述安全校验项包括重放攻击和越权攻击中的至少一种；

在获取与所述目标接口通信的权限的情况下，将所述请求报文发送至所述目标接口，得到所述目标接口基于所述请求报文返回的响应报文；

将所述响应报文与所述请求报文的预期响应报文进行对比，基于对比结果得到所述待测系统的测试结果；

其中，在所述安全校验项为重放攻击的情况下，所述请求报文包括通过待测系统向目标接口发送请求报文的用户的身份认证凭据；在所述安全校验项为越权攻击的情况下，所述请求报文包括请求获取通过待测系统向目标接口发送请求报文的用户的数据操作权限；

若所述安全校验项为重放攻击，所述将所述响应报文与所述请求报文的预期响应报文进行对比，基于对比结果得到所述待测系统的测试结果包括：在所述响应报文包括身份认证失败信息的情况下，所述测试结果为测试通过；若所述安全校验项为越权攻击，所述将所述响应报文与所述请求报文的预期响应报文进行对比，基于对比结果得到所述待测系统的测试结果包括：在所述响应报文包括请求失败信息的情况下，所述测试结果为测试通过；

所述方法还包括：将所述安全校验项写入配置文件中，以便于动态更改所述安全校验项。

2.根据权利要求1所述的方法，其特征在于，在所述安全校验项为重放攻击的情况下，所述请求报文的预期响应报文包括身份认证失败信息。

3.根据权利要求2所述的方法，其特征在于，所述将所述响应报文与所述请求报文的预期响应报文进行对比，基于对比结果得到所述待测系统的测试结果包括：

在所述响应报文包括身份认证成功信息的情况下，所述测试结果为测试不通过。

4.根据权利要求1所述的方法，其特征在于，在所述安全校验项为越权攻击的情况下，所述所述请求报文的预期响应报文包括请求失败信息。

5.根据权利要求4所述的方法，其特征在于，所述将所述响应报文与所述请求报文的预期响应报文进行对比，基于对比结果得到所述待测系统的测试结果包括：

在所述响应报文包括请求通过信息的情况下，所述测试结果为不测试通过。

6.根据权利要求1-5任意一项所述的方法，其特征在于，所述方法还包括：

模拟登录所述待测系统，以便于获取请求所述目标接口的权限。

7.一种测试装置，其特征在于，所述装置包括：

抓取模块，用于抓取待测系统向目标接口发送的请求报文；所述请求报文基于安全校验项生成；所述安全校验项表示所述待测系统所要校验的安全风险；所述安全校验项包括重放攻击和越权攻击中的至少一种；

发送模块，用于在获取与所述目标接口通信的权限的情况下，将所述请求报文发送至所述目标接口，得到所述目标接口基于所述请求报文返回的响应报文；

对比模块，用于将所述响应报文与所述请求报文的预期响应报文进行对比，基于对比结果得到所述待测系统的测试结果；

其中，在所述安全校验项为重放攻击的情况下，所述请求报文包括通过待测系统向目标接口发送请求报文的用户的身份认证凭据；在所述安全校验项为越权攻击的情况下，所述请求报文包括请求获取通过待测系统向目标接口发送请求报文的用户的数据操作权限；

若所述安全校验项为重放攻击，所述将所述响应报文与所述请求报文的预期响应报文进行对比，基于对比结果得到所述待测系统的测试结果包括：在所述响应报文包括身份认证失败信息的情况下，所述测试结果为测试通过；若所述安全校验项为越权攻击，所述将所述响应报文与所述请求报文的预期响应报文进行对比，基于对比结果得到所述待测系统的测试结果包括：在所述响应报文包括请求失败信息的情况下，所述测试结果为测试通过；

所述测试装置还用于：将所述安全校验项写入配置文件中，以便于动态更改所述安全校验项。