[发明专利]软件系统风险的确定方法、装置及电子设备

权利要求书

1.一种软件系统风险的确定方法，其特征在于，包括：

获取目标软件系统的系统信息，其中，所述系统信息包括对象信息和至少一个目标访问地址，所述目标访问地址为用于访问所述目标软件系统的网络地址，所述对象信息为使用所述目标软件系统的对象的信息；

通过目标数据库检测每个所述目标访问地址所对应的目标程序框架是否为异常程序框架，得到检测结果，其中，所述目标数据库用于记录存在信息安全风险的程序框架；

根据所述检测结果以及所述对象信息对所述目标软件系统进行渗透测试，得到测试结果，其中，所述渗透测试用于在所述对象未知情的情况下登录所述目标软件系统；

根据所述测试结果确定所述目标软件系统的风险评分，其中，所述风险评分用于表征所述目标软件系统的风险程度。

2.根据权利要求1所述的方法，其特征在于，获取目标软件系统的系统信息，包括：

获取多个访问地址，其中，所述多个访问地址中至少包括所述目标软件系统的访问地址以及至少一个第一软件系统的访问地址，所述第一软件系统为与所述目标软件系统存在关联关系的软件系统；

从所述多个访问地址中确定能够正常访问的地址，得到至少一个所述目标访问地址；

获取至少一个所述目标访问地址的历史访问记录；

从所述历史访问记录中提取所述对象信息。

3.根据权利要求1所述的方法，其特征在于，通过目标数据库检测每个所述目标访问地址所对应的目标程序框架是否为异常程序框架，得到检测结果，包括：

检测所述目标数据库中是否存在所述目标程序框架；

在所述目标数据库中存在所述目标程序框架的情况下，确定所述目标程序框架为所述异常程序框架；

在所述目标数据库中不存在所述目标程序框架的情况下，确定所述目标程序框架为正常程序框架。

4.根据权利要求1所述的方法，其特征在于，根据所述检测结果以及所述对象信息对所述目标软件系统进行渗透测试，得到测试结果，包括：

在所述检测结果表征每个所述目标访问地址所对应的目标程序框架全部为正常程序框架的情况下，根据所述对象信息生成链接请求，并将所述链接请求发送至所述目标软件系统中，其中，所述链接请求用于在所述对象不知情的情况下，获取所述对象的账户以及账户密码；

检测所述目标软件系统是否基于所述链接请求返回所述账户以及所述账户密码；

在检测到所述目标软件系统返回所述账户以及所述账户密码时，确定所述目标软件系统未通过所述渗透测试；

在检测到所述目标软件系统未返回所述账户以及所述账户密码时，确定所述目标软件系统通过所述渗透测试。

5.根据权利要求1所述的方法，其特征在于，根据所述检测结果以及所述对象信息对所述目标软件系统进行渗透测试，得到测试结果，包括：

在所述检测结果表征每个所述目标访问地址所对应的目标程序框架中存在所述异常程序框架的情况下，根据所述异常程序框架以及所述对象信息生成第一请求指令，并将所述第一请求指令发送至所述目标软件系统中，其中，所述第一请求指令用于在所述对象不知情的情况下获取所述对象在所述目标软件系统中的权限信息；

检测所述目标软件系统是否基于所述第一请求指令返回所述权限信息；

在检测到所述目标软件系统返回所述权限信息时，确定所述目标软件系统未通过所述渗透测试；

在检测到所述目标软件系统未返回所述权限信息时，确定所述目标软件系统通过所述渗透测试。