[发明专利]安全测试方法、装置、计算机设备和存储介质

说明书

本申请涉及一种安全测试方法、装置、计算机设备和存储介质。该方法涉及信息安全技术领域，该方法包括：根据待测试应用程序的输入参数，生成模拟网络报文，并将该模拟网络报文传输至用户终端内的虚拟服务器程序；在该模拟网络报文传输至该虚拟服务器程序的过程中，拦截该模拟网络报文；对该模拟网络报文进行处理，并基于处理后的模拟网络报文进行安全测试。即本申请实施例中，可以在用户终端本地建立模拟网络环境，能够避免应用程序直接与服务器进行交互使得中间人测试模块无法获取到输入参数导致无法进行安全测试的问题，通过该模拟网络环境生成模拟网络报文，并通过对该模拟网络报文的处理实现对待测试应用程序的安全测试，提高安全测试效率。

技术领域

本申请涉及信息安全技术领域，特别是涉及一种安全测试方法、装置、计算机设备和存储介质。

背景技术

随着智能终端的普及，应用市场涌现出大量的手机软件(application，简称APP)供用户终端下载使用。为了确保用户终端所安装的APP的安全性，在发行APP之前，需要对APP进行安全检测，以识别漏洞。

传统技术中，通常通过中间人代理的方式进行安全检测，中间代理人的方式是指通过中间代理人检测工具劫持用户终端的APP流量，并对劫持的APP流量进行分析实现安全检测。

然而，随着用户终端的安全对抗能力的不断提升，越来越多的APP采用了针对中间代理人检测工具的安全手段(例如：用户终端通常会直接采用报文加密、安全隧道等方式与服务器进行通信，而不通过中间代理转发流量)，导致中间代理人检测工具无法顺利获取用户终端未加密的APP流量，从而无法对用户终端所安装的APP进行安全检测，造成安全检测的效率低。

发明内容

基于此，有必要针对上述技术问题，提供一种能够针对中间代理人检测工具进行安全防护的客户端APP进行安全测试，以提高安全检测效率的安全测试方法、装置、计算机设备和存储介质。

第一方面，提供了一种安全测试方法，该方法包括：

根据待测试应用程序的输入参数，生成模拟网络报文，并将该模拟网络报文传输至用户终端内的虚拟服务器程序；

在模拟网络报文传输至虚拟服务器程序的过程中，拦截该模拟网络报文；

对该模拟网络报文进行处理，并基于处理后的模拟网络报文对该待测试应用程序进行安全测试。

在其中一个实施例中，对该模拟网络报文进行处理，并基于处理后的模拟网络报文对该待测试应用程序进行安全测试，包括：

对该模拟网络报文中的输入参数进行修改，并将修改后的模拟网络报文传输至该虚拟服务器程序；

接收虚拟服务器程序返回的该修改后的模拟网络报文，并对修改后的模拟网络报文进行解析，得到修改后的输入参数；

根据修改后的输入参数，生成测试网络报文，并基于该测试网络报文对该待测试应用程序进行安全测试。

在其中一个实施例中，基于该测试网络报文对该待测试应用程序进行安全测试，包括：

将测试网络报文发送至与待测试应用程序对应的目标服务器；

接收目标服务器响应于该测试网络报文的测试结果，并根据该测试结果对待测试应用程序进行安全测试。

在其中一个实施例中，根据该测试结果对待测试应用程序进行安全测试，包括：

在该测试结果为测试失败的情况下，确定待测试应用程序安全；

在该测试结果为测试成功的情况下，确定待测试应用程序存在安全漏洞。

在其中一个实施例中，根据待测试应用程序的输入参数，生成模拟网络报文，包括：

跟踪待测试应用程序的输入参数；