[发明专利]一种基于功能测试的自动化安全测试方法

说明书

本发明公开了一种基于功能测试的自动化安全测试方法，该方法包括：通过代理服务器捕获用户的网络请求数据；通过安全测试服务器将代理服务器捕获的网络请求进行过滤，只保留用户对目标网站的访问请求；对目标网站的所有请求进行重要性分；对不同重要性等级的请求分配该等级对应的测试项；针对测试项对目标网站的请求进行相应的安全测试；本发明对用户的网络访问进行代理，在此基础上对用户的访问请求数据进行捕获，然后对捕获到的用户请求进行安全分析，在安全分析的过程中通过心跳机制保证会话的连续性；本发明通过自动化的构建网站地图，扩大安全测试的覆盖范围，帮助安全测试人员更好地掌控被测项目的安全情况。

技术领域

本发明提供了一种基于功能测试的自动化安全测试方法，涉及网络流量抓取、流量清洗、对过滤后的流量进行安全测试的核心技术及算法。

背景技术

随着移动互联网的快速发展，推动了网站的爆发式增长，同时因网站漏洞引起的安全问题也日益增长。由于传统的手工安全测试往往需要投入大量的人力资源，而且通常不能覆盖所有的测试点，而自动化安全测试可以很好地解决上述的两个问题，因此很多自动化安全测试工具如zap、burpsuite等等应运而生。这些自动化测试工具实现的思路是：通过爬虫工具自动化爬取目标网站的网站地图，记录网站中存在的请求/响应内容，然后在此基础上通过模拟攻击或者安全分析的方法发现网站可能存在的安全漏洞。上述过程存在的一个显著问题是，通过爬虫工具爬取到的网站地图是不完整的，比如很多的网站需要登录，有权限控制，在这种情况下使用爬虫工具爬取到的网站地图是很有限的，这会导致自动化安全测试的结果也不够全面。基于此，本发明提供了一种获取网站地图的全新思路，那就是在功能测试人员进行手工测试的时候对网络流量进行捕获，基于此来构建网站地图，由于功能测试人员在进行测试的时候，会保证覆盖每个功能点，因此基于手工测试进行网站地图的构建会确保网站地图构建的完整性。在完整的网站地图构建完成的基础上，对网站地图进行过滤，保留能反映网站安全漏洞的关键请求信息。为了实现安全测试速度与准确性的平衡，本发明在对网站地图进行安全分析的时候，按照网站地图中请求的重要程度来相应地分配测试资源，有的放矢地开展自动化安全测试。

发明内容

本发明的目的在于针对现有的基于网站地图的自动化安全测试不能覆盖足够的测试面的不足，提供一种基于功能测试的自动化安全测试方法，提高自动化安全测试的覆盖面。

本发明的目的是通过以下技术方案来实现的：一种基于功能测试的自动化安全测试方法，该方法包括以下步骤：

(1)请求捕获：通过代理服务器捕获用户的网络请求数据；

(2)请求过滤：通过安全测试服务器将代理服务器捕获的网络请求进行过滤，只保留用户对目标网站的访问请求；

(3)重要性计算：对目标网站的所有请求进行重要性分级；

(4)对不同重要性等级的请求分配该等级对应的测试项；

(5)针对测试项对目标网站的请求进行相应的安全测试，并通过心跳机制来保持测试过程中会话的连续性；汇总所有请求的测试结果，完成对目标网站的自动化安全测试。

进一步地，使用多节点动态部署的方法部署代理服务器，并给用户浏览器设置服务器代理，浏览器发出的请求均经代理服务器进行转发；在代理服务器上监听发送/接收的请求信息，就可以捕获到用户实际发送/接收的请求。

进一步地，多节点动态部署代理服务器的方法具体为：中央调度器接收到申请代理服务器的请求后，在所有节点中选择空闲服务器数量最多的节点作为工作节点；在该工作节点上，用total表示节点中部署的服务器总数，available表示节点中空闲的代理服务器数量，min表示节点中空闲服务器的最小数量阈值，需要使用代理服务器时，从空闲服务器中选择一个使用，服务器的状态由空闲变为占用，available值减1，如果available小于min，新开启一个服务器，total加1，available加1，当用户结束代理，回收该用户占用的代理服务器资源，available加1。