[发明专利]测试方法和装置

说明书

本申请公开了测试方法和装置。所述方法的一具体实施方式包括：获取网站服务器的日志文件中记录的请求信息；根据所述请求信息生成备选统一资源定位符URL；筛选所述备选URL，得到待测试URL；控制安全性测试工具测试所述待测试URL。该实施方式解决了需要人工收集待测试URL导致的测试效率不高且容易出现测试遗漏的问题。

技术领域

本申请涉及计算机技术领域，具体涉及网络安全领域，尤其涉及测试方法和装置。

背景技术

现有技术中，如图1所示，主要依靠测试人员通过在页面输入测试值或者直接构造超文本传输协议HTTP请求进行测试，测试主要针对单个CGI(Common Gateway Interface，通用网关接口)进行。这样，测试效率较低，且需要人工收集待扫描的CGI信息，CGI列表的完整性比较难以保证，对于CGI参数值的组合情况考虑较少，容易出现测试遗漏。

发明内容

本申请的目的在于提出一种改进的测试方法和测试装置，来解决以上背景技术部分提到的技术问题。

第一方面，本申请提供了一种测试方法，所述方法包括：获取网站服务器的日志文件中记录的请求信息；根据所述请求信息生成备选统一资源定位符URL；筛选所述备选URL，得到待测试URL；控制安全性测试工具测试所述待测试URL。

在一些实施例中，所述根据所述请求信息生成备选URL，包括：组合所述请求信息中包括的请求的统一资源标识符URI以及所述请求的URI对应的请求的服务器地址，得到所述备选URL。

在一些实施例中，所述筛选所述备选URL，得到待测试URL，包括：对所述备选URL进行去重操作以得到待测试URL；其中，所述去重操作包括：根据所述备选URL中包括的目录名和文件名对所述备选URL进行分组，包括相同目录名和文件名的URL分为一组；如果同一组URL中存在不包括参数部分的URL和包括参数部分的URL，则删除所述同一组URL中不包括参数部分的URL；保留包括参数部分的URL中具有相同参数类型的URL中的一个URL，删除与保留的URL具有相同参数类型的URL。

在一些实施例中，所述获取网站服务器的日志文件中记录的请求信息，包括：获取预设周期内的网站服务器的日志文件中记录的请求信息。在一些实施例中，所述控制安全性测试工具测试所述待测试URL，包括：将所述待测试URL基于所述预设周期批量存储于所述安全性测试工具的可执行文件中；判断所述可执行文件中待测试URL的数量是否小于预先设置的待测试URL的数量的阈值；如果是，则控制安全性测试工具批量测试所述可执行文件中的待测试URL。

在一些实施例中，所述控制安全性测试工具测试所述待测试URL，包括：获取预先设置的免测试信息；控制安全性测试工具测试所述待测试URL时跳过与所述免测试信息关联的URL。

第二方面，本申请提供了一种测试装置，所述装置包括：获取单元，用于获取网站服务器的日志文件中记录的请求信息；生成单元，用于根据所述请求信息生成备选统一资源定位符URL；筛选单元，用于筛选所述备选URL，得到待测试URL；控制单元，用于控制安全性测试工具测试所述待测试URL。

在一些实施例中，所述生成单元，包括：组合模块，用于组合所述请求信息中包括的请求的统一资源标识符URI以及所述请求的URI对应的请求的服务器地址，得到所述备选URL。

在一些实施例中，所述筛选单元，包括：去重模块，用于对所述备选URL进行去重操作以得到待测试URL；其中，所述去重操作包括：根据所述备选URL中包括的目录名和文件名对所述备选URL进行分组，包括相同目录名和文件名的URL分为一组；如果同一组URL中存在不包括参数部分的URL和包括参数部分的URL，则删除所述同一组URL中不包括参数部分的URL；保留包括参数部分的URL中具有相同参数类型的URL中的一个URL，删除与保留的URL具有相同参数类型的URL。