[发明专利]基于数据库注入测试的安全测试系统及方法在审
| 申请号: | 201710323965.8 | 申请日: | 2017-05-08 |
| 公开(公告)号: | CN107145786A | 公开(公告)日: | 2017-09-08 |
| 发明(设计)人: | 丁锐;常清雪;师洛蓓 | 申请(专利权)人: | 四川长虹电器股份有限公司 |
| 主分类号: | G06F21/57 | 分类号: | G06F21/57 |
| 代理公司: | 四川省成都市天策商标专利事务所51213 | 代理人: | 秦华云,刘渝 |
| 地址: | 621000 四*** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于数据库注入测试的安全测试系统及方法,包括云端被防御业务系统和若干个客户端,所述客户端与云端被防御业务系统网络通信连接,所述客户端内部包括响应监听模块、消息识别模块、信息收集模块、信息构造模块和信息发送模块;所述客户端内部具有待测业务系统,所述待测业务系统包括请求报文,所述请求报文包括响应数据、数据流信息;所述云端被防御业务系统用于进行数据库注入测试。本发明在云端数据库注入测试中,可以快速且自动的遍历多种类型及编码方式的数据库注入构造方法,省去了人工进行数据库过滤机制的判断,实现了安全测试的高效性,快捷性和准确性。 | ||
| 搜索关键词: | 基于 数据库 注入 测试 安全 系统 方法 | ||
【主权项】:
一种基于数据库注入测试的安全测试系统,其特征在于:包括云端被防御业务系统和若干个客户端,所述客户端与云端被防御业务系统网络通信连接,所述客户端内部包括响应监听模块、消息识别模块、信息收集模块、信息构造模块和信息发送模块;所述客户端内部具有待测业务系统,所述待测业务系统包括请求报文,所述请求报文包括响应数据、数据流信息;所述云端被防御业务系统用于进行数据库注入测试;所述响应监听模块用于对待测业务系统前端请求报文的响应数据进行监视,对网络上信息传输进行管理,判断并抓取数据流信息;所述消息识别模块用于判断响应监听模块所抓取的数据流信息中的云端响应信息是否存在对数据库注入的过滤行为,若属于数据库注入过滤行为则将该数据流信息传递给信息收集模块,否则不动作;所述信息收集模块用于获取数据流信息中关于数据库注入过滤的特定参数信息,所述特定参数信息包括特殊字符及特殊数据库注入构造语句;所述信息构造模块用于接收从信息收集模块传递来的特定参数信息,分析并处理特定参数信息,然后以特定的方式生成一个新的数据库注入语句,并将该语句传递给信息发送模块;所述信息发送模块用于对从信息构造模块获取到的数据库注入语句进行语法的检测,若新的数据库注入语句语法合法,则直接提交云端被防御业务系统进行数据库注入测试;否则信息发送模块将该语句重新传输至信息构造模块,并等待信息构造模块重新生成新的数据库注入语句。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于四川长虹电器股份有限公司,未经四川长虹电器股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201710323965.8/,转载请声明来源钻瓜专利网。
