[发明专利]软件系统风险的确定方法、装置及电子设备

说明书

本申请公开了一种软件系统风险的确定方法、装置及电子设备，涉及信息安全技术领域。其中，该方法包括：获取目标软件系统的系统信息，其中，系统信息包括对象信息和至少一个目标访问地址，目标访问地址为用于访问目标软件系统的网络地址，对象信息为使用目标软件系统的对象的信息；通过目标数据库检测每个目标访问地址所对应的目标程序框架是否为异常程序框架，得到检测结果；根据检测结果以及对象信息对目标软件系统进行渗透测试，得到测试结果；根据测试结果确定目标软件系统的风险评分。本申请解决了现有技术中确定软件系统风险的准确性低的技术问题。

技术领域

本申请涉及信息安全技术领域，具体而言，涉及一种软件系统风险的确定方法、装置及电子设备。

背景技术

随着互联网技术的发展，企业在运营过程中会使用到各种类型的软件系统，其中，由于软件系统中会记录有大量的用户数据，因此，准确地评估一个软件系统是否存在信息安全风险是避免用户数据出现泄漏的关键。

但是，现有技术中在对软件系统进行风险评估时，通常是采用人工编写测试用例的方式对软件系统进行测试，这种方式不仅需要占用大量的人工成本，而且测试用例通常对于软件系统不具有针对性，例如，使用同一套测试用例对程序框架不同的两个软件系统入口进行测试，从而导致在测试过程中一些软件系统的安全漏洞难以暴露，进而造成了最终测试得到的软件风险准确性较低的问题。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本申请实施例提供了一种软件系统风险的确定方法、装置及电子设备，以至少解决现有技术中确定软件系统风险的准确性低的技术问题。

根据本申请实施例的一个方面，提供了一种软件系统风险的确定方法，包括：获取目标软件系统的系统信息，其中，系统信息包括对象信息和至少一个目标访问地址，目标访问地址为用于访问目标软件系统的网络地址，对象信息为使用目标软件系统的对象的信息；通过目标数据库检测每个目标访问地址所对应的目标程序框架是否为异常程序框架，得到检测结果，其中，目标数据库用于记录存在信息安全风险的程序框架；根据检测结果以及对象信息对目标软件系统进行渗透测试，得到测试结果，其中，渗透测试用于在对象未知情的情况下登录目标软件系统；根据测试结果确定目标软件系统的风险评分，其中，风险评分用于表征目标软件系统的风险程度。

进一步地，软件系统风险的确定方法还包括：获取多个访问地址，其中，多个访问地址中至少包括目标软件系统的访问地址以及至少一个第一软件系统的访问地址，第一软件系统为与目标软件系统存在关联关系的软件系统；从多个访问地址中确定能够正常访问的地址，得到至少一个目标访问地址；获取至少一个目标访问地址的历史访问记录；从历史访问记录中提取对象信息。

进一步地，软件系统风险的确定方法还包括：检测目标数据库中是否存在目标程序框架；在目标数据库中存在目标程序框架的情况下，确定目标程序框架为异常程序框架；在目标数据库中不存在目标程序框架的情况下，确定目标程序框架为正常程序框架。

进一步地，软件系统风险的确定方法还包括：在检测结果表征每个目标访问地址所对应的目标程序框架全部为正常程序框架的情况下，根据对象信息生成链接请求，并将链接请求发送至目标软件系统中，其中，链接请求用于在对象不知情的情况下，获取对象的账户以及账户密码；检测目标软件系统是否基于链接请求返回账户以及账户密码；在检测到目标软件系统返回账户以及账户密码时，确定目标软件系统未通过渗透测试；在检测到目标软件系统未返回账户以及账户密码时，确定目标软件系统通过渗透测试。