[发明专利]一种黑盒测试的方法

权利要求书

1.一种黑盒测试的方法，其特征在于，包括：

S1.检查客户端提交的构造语句以及外部输入的数据信息；

S2.判断是否存在对可执行的函数入口进行过滤；若否，进入步骤S3，若是，返回步骤S1；

S3.设置对所述的对可执行的函数入口的过滤器。

2.根据权利要求1所述的黑盒测试的方法，其特征在于，所述的步骤S3后还包括步骤S4：检查HTTP头文件中的变量的初始化，禁止header()函数中的参数外界可控。

3.根据权利要求2所述的黑盒测试的方法，其特征在于，所述的步骤S4后还包括步骤S5：过滤SQL语句中的符号字符。

4.根据权利要求3所述的黑盒测试的方法，其特征在于，所述的步骤S5后还包括步骤S6：定义上传文件的白名单，文件上传目录禁止脚本解析。

5.根据权利要求4所述的黑盒测试的方法，其特征在于，所述的步骤S6还包括步骤S7：利用系统本地漏洞提升权限，获得超级用户权限以及系统权限，从而进一步攻击本地网络。

6.根据权利要求5所述的黑盒测试的方法，其特征在于，所述的步骤S7还包括步骤S8：获取一图片的URL地址，然后以http://www.test.com/1.jpg/1.php的方式访问，如图正常返回，说明漏洞存在，然后查找网站中存在上传的地方，上传内容为脚本后门的图片文件，获取上传后的图片地址后，通过http://www.test.com/1.jpg/1.php方式访问，即可获取到脚本后门。

7.根据权利要求6所述的黑盒测试的方法，其特征在于，所述的S8还括步骤S9：获取到DNS服务器或者DNS服务器网段所在某台机器，通过直接修改或者arp欺骗等方式，域名的解析记录控制权，进而修改此域名的解析结果，导致对该域名的访问由原IP地址转入到修改后的指定IP，其结果就是对特定的网址不能访问或访问的是假网址，从而实现窃取资料或者破坏原有正常服务的目的。

8.根据权利要求1至9任一项所述的黑盒测试的方法，其特征在于，每一最后的步骤后还包括步骤S10:对所有的漏洞进行修补后，返回步骤S1。