[发明专利]一种基于Http请求自动变形的渗透测试方法及系统

说明书

本发明公开了一种基于Http请求自动变形的渗透测试方法，包括以下步骤：采集原始API数据；根据预置的自动变形规则将原始API数据进行组装，以得到目标API请求；基于目标API请求通过HttpClint5对待测试系统进行渗透测试，生成渗透测试结果；对渗透测试结果进行解析，以得到解析结果数据，并根据预置的用户配置规则对解析结果数据进行汇总，生成渗透报告。本发明还公开了一种基于Http请求自动变形的渗透测试系统。本发明涉及系统测试技术领域。本发明可实现快速全面的渗透测试。

技术领域

本发明涉及系统测试技术领域，具体而言，涉及一种基于Http请求自动变形的渗透测试方法及系统。

背景技术

当前为了保证系统上线无安全漏洞，需要测试人员利用fillder抓包工具或者postman测试工具等对Http请求进行渗透测试，经过测试人员有计划的修改以及分析返回结果来确认系统是否安全。

但这种方式存在以下的问题：

时间成本长：每次发版都需要测试人员进行渗透测试，包括以前的Http请求也要进行重新测试，若系统一直在迭代，则渗透测试会面临滚雪球似的时间增加。

人力成本高：如遇到测试人员工作变动，则需要面临人员交接、文档交接以及新员工重新学习的问题，而如果是自动变形的渗透技术测试则不存在这种情况。

效率不高：测试人员对复杂的操作重复做效率不高也比较的浪费时间和人力。

不够全面：当公司没把研究渗透测试的规则作为资产来管理的时候，就无法对渗透测试进行持续改进、持续优化，也就不能对系统面临的潜在风险进行完全覆盖检测。那么最终给出的测试报告往往也不够全面。

发明内容

为了克服上述问题或者至少部分地解决上述问题，本发明实施例提供一种基于Http请求自动变形的渗透测试方法及系统，可实现快速全面的渗透测试。

本发明的实施例是这样实现的：

第一方面，本发明实施例提供一种基于Http请求自动变形的渗透测试方法，包括以下步骤：

采集原始API数据；

根据预置的自动变形规则将原始API数据进行组装，以得到目标API请求；

基于目标API请求通过HttpClint5对待测试系统进行渗透测试，生成渗透测试结果；

对渗透测试结果进行解析，以得到解析结果数据，并根据预置的用户配置规则对解析结果数据进行汇总，生成渗透报告。

为了解决现有技术中的系统渗透测试的时间成本长、人力成本高、效率低、不全面等技术问题，本发明通过解析Http请求的请求方式，请求参数等，然后通过一些规范规则自动变形组装成新的API请求，借助HttpClint5对系统进行渗透攻击，以此来实现快速的渗透测试。首先，采集原始API数据，然后根据预置的自动变形规则将原始API数据进行重新组装，以得到新的API请求，即目标API请求；然后通过HttpCl int5发起渗透测试，解析返回请求信息的状态码、响应时间等维度信息，生成渗透测试结果。然后对渗透测试结果进行解析，以得到解析结果数据，并根据预置的用户配置规则对解析结果数据进行汇总，生成完整全面的渗透报告。

本方法实现了互联网系统正式上线前(包括项目的迭代)可以快速的根据用户配置的规则来进行渗透测试保证系统无安全漏洞，大大提高了渗透测试的效率，同时有效节约了时间和人力成本。

基于第一方面，在本发明的一些实施例中，上述采集原始API数据的方法包括以下步骤：

通过交换机端口镜像、Nginx和/或web端插件采集数据流量；

将数据流量进行解析，以得到原始API数据。