[发明专利]一种安全测试方法、系统、电子设备和存储介质

说明书

本发明公开了一种安全测试方法、系统、电子设备和存储介质。其中，该方法包括：获取客户端传输的请求报文，按照预设报文密钥以及所述请求报文的报文类型将所述请求报文处理为测试报文，按照所述测试报文测试待测系统。本发明实施例通过根据请求报文的报文类型和预设报文密钥将客户端发送的请求报文处理为测试报文，并利用该测试报文对待测系统进行安全测试，可以实现报文的自动加解密/加签操作，减少了测试人员的工作量，能够自动化生成测试报文，提高了安全测试的效率和灵活性。

技术领域

本发明涉及测试技术领域，尤其涉及一种安全测试方法、系统、电子设备和存储介质。

背景技术

伴随着应用程序种类和数量的爆发式增长，应用程序的安全态势愈加严峻。安全测试作为应用测试的重要组成部分，可以查找出应用程序设计中存在的安全隐患，以及检查应用程序对非法入侵的防范能力。

现有技术下，通常采用静态应用安全测试(Static Application SecurityTesting，SAST)和动态应用安全测试(Dynamic Application Security Testing，DAST)两种方法对待测应用进行安全测试，例如可以利用爬虫技术获取测试报文，再修改测试报文即注入不同漏洞类型的攻击载荷(Payload)，最后通过客户端接收到的响应报文去分析和判断漏洞是否存在。然而在加密加签的测试环境下，由于服务端只接受正确加密或加签后的报文，因此将导致上述安全测试方法不再较好的适用，若采用手动实现加解密操作进行安全测试，则在每次对测试报文进行修改后都需要重新进行加解密或签名的操作，工作量较大，导致安全测试的效率较低。

发明内容

本发明提供了一种安全测试方法、系统、电子设备和存储介质，以实现根据请求报文的报文类型和预设报文密钥将客户端发送的请求报文处理为测试报文，并利用该测试报文对待测系统进行安全测试，可以实现报文的自动加解密/加签操作，减少了测试人员的工作量，测试过程更加灵活，实现了自动化安全测试，提高了安全测试的效率。

根据本发明的一方面，提供了一种安全测试方法，该方法包括：

获取客户端传输的请求报文；

按照预设报文密钥以及请求报文的报文类型将请求报文处理为测试报文；

按照测试报文测试待测系统。

根据本发明的另一方面，提供了一种安全测试装置，该装置包括：

请求报文获取模块，用于获取客户端传输的请求报文；

测试报文生成模块，用于按照预设报文密钥以及请求报文的报文类型将请求报文处理为测试报文；

报文测试模块，用于按照测试报文测试待测系统。

根据本发明的另一方面，提供了一种电子设备，所述电子设备包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明任一实施例所述的安全测试方法。

根据本发明的另一方面，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现本发明任一实施例所述的安全测试方法。

本发明实施例的技术方案，通过获取客户端传输的请求报文，按照预设报文密钥以及请求报文的报文类型将请求报文处理为测试报文，按照测试报文测试待测系统。本发明实施例通过根据请求报文的报文类型和预设报文密钥将客户端发送的请求报文处理为测试报文，并利用该测试报文对待测系统进行安全测试，可以实现报文的自动加解密/加签操作，减少了测试人员的工作量，能够自动化生成测试报文，提高了安全测试的效率和灵活性。