[发明专利]用于测试网络应用的方法和装置

说明书

技术领域

本发明涉及软件测试领域，尤其涉及用于测试网络应用的方法和装置。

背景技术

随着互联网技术的快速发展，网络应用得到了越来越广泛的使用。网络应用通常分为两种：标准网络应用和定制网络应用。其中，标准网络应用是为了满足广大公众的需求而编制的网络应用，其会被广泛部署。定制网络应用是为满足部分公众的需要而定制的网络应用，其被零星部署和/或短时间部署。

通常，在投入实际使用之前，标准网络应用和定制网络应用都要经由专业的软件测试工程师进行软件测试，以找出并消除其中存在的安全弱点。安全弱点例如包括弱的登录密码、访问特权（unprivileged access）、SQL注入攻击向量等。由于每一个公司的软件测试工程师的数量是有限制的，因此，不能保证在经过软件测试之后标准网络应用和定制网络应用不再存在安全弱点。

由于标准网络应用被广泛部署，因此在被投入实际使用之后，将会有大量公众访问和使用标准网络应用。如果标准网络应用仍然存在安全弱点，则这些安全弱点将会在大量公众的使用中被发现，可以通过修改标准网络应用来消除这些安全弱点。

然而，由于定制网络应用是为满足部分公众的需求而定制的并且只被零星和/或短时间部署，因此，在被投入实际使用之后，通常只会有很少公众访问和使用定制网络应用。在这种情况下，如果定制网络应用仍然存在安全弱点，则这些安全弱点很可能不会在使用中被发现，从而定制网络应用会存在安全隐患。

发明内容

考虑到现有技术的上述问题，本发明实施例提供一种用于测试网络应用的方法和装置，其可以提高检测定制网络应用的安全弱点的可能性。

按照本发明实施例的一种用于测试网络应用的方法，包括：接收来自测试请求方的想要测试的网络应用的名称和安装有所述网络应用的网站设备的网址，其中，所述网络应用是为满足部分公众的需求而定制的；向公众公布所述网络应用的名称和所述网站设备的网址，以邀请公众登录所述网站设备测试所述网络应用；当接收到来自公众的关于所述网络应用的安全弱点的报告时，检测所述网络应用是否存在所述安全弱点；以及，当检测结果为肯定时，把所接收的报告发送给所述测试请求方。

其中，所述方法还可以包括：在接收到来自所述测试请求方的所述网络应用的名称和所述网站设备的网址之后，检查所述测试请求方是否是合法的。其中，所述公布步骤进一步包括：当检查结果为肯定时，向公众公布所述网络应用的名称和所述网站设备的网址。

其中，所述检查步骤可以包括：在从所述测试请求方接收到所述网络应用的名称和所述网站设备的网址之后，生成随机的文本文件；向所述测试请求方发送所生成的文本文件；以及，确定所述网站设备中是否存在所述生成的文本文件，其中，当确定结果为肯定时，表明所述测试请求方是合法的。

其中，所述方法还可以包括：当所述检测结果为肯定时，向发送所述报告的公众派送所述测试请求方所提供的奖金。

其中，所述方法还可以包括：在所述测试请求方消除所述网络应用的所述安全弱点之后，向公众公开所述报告。

此外，按照本发明实施例的一种用于测试网络应用的装置，包括：接收模块，用于接收来自测试请求方的想要测试的网络应用的名称和安装有所述网络应用的网站设备的网址，其中，所述网络应用是为满足部分公众的需求而定制的；公布模块，用于向公众公布所述网络应用的名称和所述网站设备的网址，以邀请公众登录所述网站设备测试所述网络应用；检测模块，用于当接收到来自公众的关于所述网络应用的安全弱点的报告时，检测所述网络应用是否存在所述安全弱点；以及，发送模块，用于当检测结果为肯定时，把所接收的报告发送给所述测试请求方。

其中，所述装置还可以包括：检查模块，用于在接收到来自所述测试请求方的所述网络应用的名称和所述网站设备的网址之后，检查所述测试请求方是否是合法的。其中，所述公布模块进一步用于：当检查结果为肯定时，向公众公布所述网络应用的名称和所述网站设备的网址。

其中，所述检查模块可以包括：生成模块，用于在接收到来自所述测试请求方的所述网络应用的名称和所述网站设备的网址之后，生成随机的文本文件；传送模块，用于向所述测试请求方发送所生成的文本文件；以及，确定模块，用于确定所述网站设备中是否存在所述生成的文本文件，其中，当确定结果为肯定时，表明所述测试请求方是合法的。

其中，所述装置还可以包括：派送模块，用于当所述检测结果为肯定时，向发送所述报告的公众派送所述测试请求方所提供的奖金。