[发明专利]一种基于功能测试的自动化安全测试方法

权利要求书

1.一种基于功能测试的自动化安全测试方法，其特征在于，该方法包括以下步骤：

(1)请求捕获：通过代理服务器捕获用户的网络请求数据；

(2)请求过滤：通过安全测试服务器将代理服务器捕获的网络请求进行过滤，只保留用户对目标网站的访问请求；

(3)重要性计算：对目标网站的所有请求进行重要性分级；

(4)对不同重要性等级的请求分配该等级对应的测试项；

(5)针对测试项对目标网站的请求进行相应的安全测试，并通过心跳机制来保持测试过程中会话的连续性；汇总所有请求的测试结果，完成对目标网站的自动化安全测试。

2.根据权利要求1所述的一种基于功能测试的自动化安全测试方法，其特征在于，使用多节点动态部署的方法部署代理服务器，并给用户浏览器设置服务器代理，浏览器发出的请求均经代理服务器进行转发；在代理服务器上监听发送/接收的请求信息，就可以捕获到用户实际发送/接收的请求。

3.根据权利要求2所述的一种基于功能测试的自动化安全测试方法，其特征在于，多节点动态部署代理服务器的方法具体为：中央调度器接收到申请代理服务器的请求后，在所有节点中选择空闲服务器数量最多的节点作为工作节点；在该工作节点上，用total表示节点中部署的服务器总数，available表示节点中空闲的代理服务器数量，min表示节点中空闲服务器的最小数量阈值，需要使用代理服务器时，从空闲服务器中选择一个使用，服务器的状态由空闲变为占用，available值减1，如果available小于min，新开启一个服务器，total加1，available加1，当用户结束代理，回收该用户占用的代理服务器资源，available加1。

4.根据权利要求1所述的一种基于功能测试的自动化安全测试方法，其特征在于，所述步骤(2)中，使用正则表达式过滤掉多余的请求，具体的过滤原则为：过滤非目标网站的域名或IP地址，去除静态资源。

5.根据权利要求1所述的一种基于功能测试的自动化安全测试方法，其特征在于，设置不同重要性等级对应的测试项，并保存在安全测试服务器的数据库中，以供执行测试时调用。

6.根据权利要求1所述的一种基于功能测试的自动化安全测试方法，其特征在于，所述步骤(3)中重要性计算具体为：计算各个因素的因素值，然后乘以各自的权重并进行累加，最终计算出请求的重要性importance；所述因素包括频率frequency、方法method、请求体类型qtype、请求头敏感信息qheader、响应体类型rtype和响应头敏感信息rheader。

7.根据权利要求6所述的一种基于功能测试的自动化安全测试方法，其特征在于，重要性importance计算方式如下：

importance＝frequency*0.3+method*0.1+qtype*0.15+qheader*0.15+rtype*0.15+rheader*0.15

其中，frequency＝该请求出现的次数/总请求次数；method包括delete、put、post、get，因素值依次递减；qtype包括json、key-value对、multipart、xml，因素值分别取1、0.9、0.9、0.8，其他请求体类型取0.7；qheader中包含敏感信息字段的个数为2时因素值取1，为1时因素值取0.5；rtype包括json、html、xml，因素值分别取1、0.9、0.8，其他响应体类型取0.7；rheader中包含敏感信息字段的个数为3时因素值取1，为2时因素值取0.75，为1时因素值取0.5。