[发明专利]应用程序安全测试

权利要求书

1.一种系统，包括：

主管被测试的应用程序（AUT）的服务器；

观测器，其被配置为监控由所述AUT执行的指令；和

计算装置，其通过公共的通信信道被通信地耦合到所述AUT和所述观测器，所述计算装置包括处理器和用于存储计算机可读指令的存储器装置，所述计算机可读指令被配置为指示所述处理器：

     发送应用程序请求到所述AUT，其中所述应用程序请求被配置为暴露所述AUT的潜在的漏洞；

     根据AUT的编程从所述AUT接收应用程序响应；

     发送服务请求到所述观测器；并且

     从所述观测器接收服务响应，其包含对应于由于所述应用程序请求由所述AUT执行的指令的信息，关于所述AUT的信息，或者关于主管所述AUT的服务器的信息。

2.权利要求1的系统，其中所述观测器被配置为生成标识由于所述应用程序请求由所述AUT执行的指令的踪迹，并且在所述服务响应的主体中发送所述踪迹到所述计算装置。

3.权利要求1的系统，其中所述观测器被配置为至少部分地通过将定制的标题添加到所述应用程序响应来与所述计算装置通信。

4.权利要求1的系统，所述存储器装置包括计算机可读指令，其被配置为指示所述处理器从所述观测器接收踪迹信息，所述踪迹信息包括多个漏洞踪迹节点，每个漏洞踪迹节点包含对应于由所述观测器检测的漏洞的代码位置。

5.权利要求4的系统，所述存储器装置包括计算机可读指令，其被配置为基于包含相同代码位置的漏洞踪迹节点来指示所述处理器将所述多个漏洞踪迹节点分组。

6.权利要求1的系统，其中所述观测器被配置为监控所述AUT以识别新的在所述AUT的运行时间期间动态地生成的统一资源定位符（URL），并且在所述应用程序响应的标题中返回更新字段，所述更新字段被配置为通知所述计算装置所述AUT的攻击表面已经改变。

7.权利要求1的系统，其中所述观测器被配置为：

从所述计算装置接收请求并且分析所述请求的标题；

基于所述标题的分析来识别所述请求为所述应用程序请求还是所述服务请求；

将所述应用程序请求传递到所述AUT；并且

在不将所述服务请求传递到所述AUT的情况下处理所述服务请求。

8.一种方法，包括：

发送应用程序请求到被测试的应用程序（AUT），其中所述应用程序请求被配置为暴露所述AUT的潜在的漏洞；

根据所述AUT的编程从所述AUT接收应用程序响应；

发送服务请求到监控由所述AUT执行的指令的观测器；并且

从所述观测器接收服务响应，其包含对应于由于所述应用程序请求由所述AUT执行的指令的信息，关于所述AUT的信息，或者关于主管所述AUT的服务器的信息；

其中所述应用程序请求，应用程序响应，服务请求，和服务响应通过相同的网络信道被传送。

9.权利要求8的方法，包括在所述应用程序响应中接收文件未找到标题，通过所述观测器将所述文件未找到标题添加到所述应用程序响应以表明由所述AUT产生文件未找到错误。

10.权利要求8的方法，其中所述服务请求是踪迹服务请求，所述方法包括在从所述观测器接收的所述服务响应的主体中接收栈踪迹。

11.权利要求8的方法，包括在所述服务响应的所述主体中接收漏洞踪迹节点，其中所述漏洞踪迹节点标识由所述观测器检测到的漏洞。

12.权利要求8的方法，其中所述服务请求是攻击表面服务请求，所述方法包括在所述服务响应的主体中接收关于所述AUT的所述攻击表面的信息，所述攻击表面包括在运行时间期间由所述AUT生成的静态URL和动态URL。