CN102968594B - 网页安全保护自动化测试方法 - Google Patents
网页安全保护自动化测试方法 Download PDFInfo
- Publication number
- CN102968594B CN102968594B CN201210424771.4A CN201210424771A CN102968594B CN 102968594 B CN102968594 B CN 102968594B CN 201210424771 A CN201210424771 A CN 201210424771A CN 102968594 B CN102968594 B CN 102968594B
- Authority
- CN
- China
- Prior art keywords
- hot key
- test
- window
- web page
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种网页安全保护自动化测试方法,涉及网络安全技术领域,该方法包括以下步骤:S1:遍历预先设定的热键列表,获取要屏蔽的热键;S2:查找每个热键在键码值表中对应码值,并根据所述码值模拟键盘输入热键;S3:监控网页对所述热键的处理结果,并根据热键列表中热键导致的预期结果来判断热键是否被屏蔽,若屏蔽,则网页安全,测试通过,否则网页不安全,测试未通过。本发明实现了自动化的热键安全测试操作,并验证该热键是否被屏蔽。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种网页安全保护自动化测试方法。
背景技术
网银专用上网机系统是区别于PC机的一款专用于金融系统的专业上网机,它采用专用的硬件设备、安全可靠,通过具有自我恢复功能的专用嵌入式操作系统,集防护、控制、屏蔽多项安全功能集于一体的网银专用浏览器及其它多种安全技术手段,共同构造了一个适合于金融等高风险行业对于上网方面的高安全需求。
端机软件就是针对网银专用上网机系统特别定制的一套软件应用系统,其中包括:网银专用浏览器、端机状态监控与信息采集软件、远程监控和决策分析软件、开机配置引导软件,广告播放软件等。
基于该系统上的测试目前还是处于传统的手工测试,面对该特制系统的网银系统变更频繁,测试内容繁多,如何快速正确保障网银系统的功能正常、安全可靠、性能稳定,在突破传统手工测试,利用qtp自动化测试工具,通过网银系统的安全许可,访问windowsxpe底层windows api,验证网银系统特有的浏览器和各项安全配置是否正确。
传统的手工测试已不再适用网银系统的快速变更以及繁多的安全保障内容,采用自动化测试是有效保障质量的有效手段。但对于网银系统,所有的访问系统磁盘的入口均被屏蔽,自动化脚本也不能被执行。网银系统分user账户和admin账户,admin账户下用户可以访问windowxpe系统,user账户是用户使用,该账户下由于安全考虑,屏蔽了所有的访问windowsxpe系统的操作,正常渠道是无法运行自动化脚本。网银系统在user账户下需要屏蔽热键,防止进入底层系统,热键包括windows热键、ie热键。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何实现网页安全保护的自动化测试。
(二)技术方案
为解决上述技术问题,本发明提供了一种网页安全保护自动化测试方法,包括以下步骤:
S1:遍历预先设定的热键列表,获取要屏蔽的热键;
S2:查找每个热键在键码值表中对应码值,并根据所述码值模拟键盘输入热键;
S3:监控网页对所述热键的处理结果,并根据热键列表中热键导致的预期结果来判断热键是否被屏蔽,若屏蔽,则网页安全,测试通过,否则网页不安全,测试未通过。
其中,所述步骤S2中调用windows user32.dll的kedb_event方法,输入热键的码值,以模拟输入热键。
其中,所述热键处理的预期结果包括:弹出窗口类型及进程类型的处理结果,步骤S3具体包括:
对于弹出窗口类型:
监控网页,获取热键列表中object属性值和objectname属性值,若是dialog,判断属性为objectname的由热键导致的dialog热键窗口是否弹出;若是window,判断属性为objectname的由热键导致的window热键窗口是否弹出;
若未获取到弹出的热键窗口,输出测试通过报告,测试通过;
若获取到热键窗口,输出测试未通过报告,测试未通过,模拟键盘输入关闭当前窗口的热键以关闭当前窗口;
进入下一个热键测试;
对于进程类型:
模拟热键ctl+n,再模拟输入alt+shift+k键进入管理员登陆界面,输入密码,进入管理员账户页面,并打开任务管理器,监控任务管理器中的应用程序页签;
若应用程序页签的窗口唯一,输出测试通过报告,测试通过;
若任务管理器中重复出现两个以上该类型的窗口,输出测试未通过报告,测试未通过,关闭任务管理器窗口;
进入下一个热键测试。
其中,所述热键包括:win+r、win+d、ctrl+p、ctrl+f、ctrl+l、ctrl+o及ctrl+n。
(三)有益效果
本发明的方法首先能够批量运行热键及热键组合测试,重点分析测试结果,找出安全漏洞;其次,通过键盘码来识别模拟键盘输入,实现方法较为稳定。
附图说明
图1是本发明实施例的一种网页安全保护自动化测试方法。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
本发明的网页安全保护自动化测试方法主要用于对网银机界面的测试,其主要流程如图1所示,包括:
步骤S100,遍历预先设定的热键组合列表,获取要屏蔽的热键。本实施例中热键组合列表采用excel表格,表格中记录内容示例如表1所示:
表1热键列表
| name | function | class | objectname | object |
| Ctrl+Esc | 打开开始菜单 | 弹出窗口 | Window | Window |
| Ctrl+O | 打开“打开文件”对话框 | 弹出窗口 | Window | Window |
| Ctrl+P | 打开“打印”窗口 | 弹出窗口 | Window | Window |
| Ctrl+F | 打开“查找和替换”窗口迅速查找 | 弹出窗口 | 查找 | W-Dialog |
| LWIN+R | 运行窗口 | 弹出窗口 | 运行 | Dialog |
| Alt+Tab | 两个程序交换 | 弹出窗口 | Window | Window |
| LWIN | 显示或隐藏"开始"菜单 | 弹出窗口 | Window | Window |
| Ctrl+L | 打开“打开文件”对话框=Ctrl+O | 弹出窗口 | Window | Window |
| Ctrl+N | 新打开网页窗口 | 进程 | 建设银行 |
其中,name列为热键名称,function列为热键功能,class列为处理结果类型,objectname列为处理结果类型的对象名,object列为处理结果类型的对象。
遍历过程中获取热键命令列中“+”分隔的键值数组,以便获取热键的键盘码值。热键包括:win+r、win+d、ctrl+p、ctrl+f、ctrl+l、ctrl+o及ctrl+n等。
步骤S200,查找每个热键在键码值表中对应码值,并根据码值模拟键盘输入热键。在windows系统中,调用windows user32.dll的keybd_event方法,通过键盘码实现模拟键盘输入及释放按键。
步骤S300,监控网页对热键的处理结果,并根据热键列表中热键导致的预期结果来判断热键是否被屏蔽,若屏蔽,则网页安全,测试通过,否则网页不安全,测试未通过。热键处理的预期结果包括:弹出窗口类型及进程类型的处理结果,步骤S300具体包括:
弹出窗口类型:监控网页,获取热键列表中object属性值和objectname属性值。如果是dialog,判断属性为objectname的由热键导致的dialog热键窗口是否弹出;如果是window,判断属性为objectname的由热键导致的window热键窗口是否弹出,若未获取到弹出热键窗口,输出测试通过报告,测试通过;若获取到热键窗口,输出测试未通过报告,测试未通过,模拟键盘输入关闭当前窗口的热键(alt+f4)关闭当前窗口,即未屏蔽掉的窗口。该热键测试完后进入下一个热键测试。
进程类型:模拟热键ctl+n,再模拟输入alt+shift+k键进入管理员登陆界面,输入密码,进入管理员账户页面,点击其他页签-浏览tool目录下的taskmgr,打开windows任务管理器,监控应用程序页签,若应用程序页签的窗口唯一,输出测试通过报告,测试通过,若重复出现两个以上该类型的窗口,输出测试未通过报告,测试未通过,关闭任务管理器窗口。该热键测试完后进入下一个热键测试。
例如:运行网银机进入主页面,按顺序自动获取热键列表中第一行,如ctrl+f,分别查找ctrl和f的键值code码,模拟键盘输入,读取ctrl+f对应的object属性“w-dialog”,判断属性为w-dialog的由热键ctrl+f 导致的查找对话框是否弹出,即Window(WinName).Dialog(objectname.Exist是否存在,对话框未弹出则测试通过,否则测试不通过。
进入下个循环,读取下个热键组合进行测试,如,ctrl+p,分别查找ctrl和p的键值code码,模拟键盘输入,读取ctrl+p对应的object属性“window”,判断属性为window的由热键ctrl+p导致的打印窗口是否弹出,即Window(objectname).Exist是否存在,打印窗口未弹出,测试通过,否则不通过。
再如:ctrl+n,分别查找ctrl和n的键值code码,模拟键盘输入,打开任务管理器,进入应用程序,读取ctrl+n对应的objectname属性值“建设银行”,遍历所有应用程序,如果该应用程序进程数大于1,则输出测试未通过报告,测试未通过,否则测试通过,输出测试通过报告。
经过上述步骤S300,每测试一个热键,产生一个测试通过或未通过的报告,之后继续测试下一个热键,直达所有热键测试完毕。
当然在第一次测试时,需要做一些常规的配置:
配置自动化测试脚本所依赖的环境变量,设置应用程序路径、管理员登陆账号、密码;编写数据:编写excel数据表,windows热键组合表keyname.xls(即上述的热键列表)和键盘所有码值表;登陆网银系统,进入管理员界面,通过浏览功能,打开自动化工具QuickTestTool,运行测试脚本,即开始执行上述方法。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (3)
1.一种网页安全保护自动化测试方法,其特征在于,包括以下步骤:
S1:遍历预先设定的热键列表,获取要屏蔽的热键;
S2:查找每个热键在键码值表中对应码值,并根据所述码值模拟键盘输入热键;
S3:监控网页对所述热键的处理结果,并根据热键列表中热键导致的预期结果来判断热键是否被屏蔽,若屏蔽,则网页安全,测试通过,否则网页不安全,测试未通过;
所述热键处理的预期结果包括:弹出窗口类型及进程类型的处理结果,步骤S3具体包括:
对于弹出窗口类型:
监控网页,获取热键列表中object属性值和objectname属性值,若是dialog,判断属性为objectname的由热键导致的dialog热键窗口是否弹出;若是window,判断属性为objectname的由热键导致的window热键窗口是否弹出;
若未获取到弹出的热键窗口,输出测试通过报告,测试通过;
若获取到热键窗口,输出测试未通过报告,测试未通过,模拟键盘输入关闭当前窗口的热键以关闭当前窗口;
进入下一个热键测试;
对于进程类型:
模拟热键ctl+n,再模拟输入alt+shift+k键进入管理员登陆界面,输入密码,进入管理员账户页面,并打开任务管理器,监控任务管理器中的应用程序页签;
若应用程序页签的窗口唯一,输出测试通过报告,测试通过;
若任务管理器中重复出现两个以上应用程序页签的窗口,输出测试未通过报告,测试未通过,关闭任务管理器窗口;
进入下一个热键测试。
2.如权利要求1所述的网页安全保护自动化测试方法,其特征在于,所述步骤S2中调用windows user32.dll的kedb_event方法,输入热键的码值,以模拟输入热键。
3.如权利要求1~2中任一项所述的网页安全保护自动化测试方法,其特征在于,所述热键包括:win+r、win+d、ctrl+p、ctrl+f、ctrl+l、ctrl+o及ctrl+n。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210424771.4A CN102968594B (zh) | 2012-10-30 | 2012-10-30 | 网页安全保护自动化测试方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210424771.4A CN102968594B (zh) | 2012-10-30 | 2012-10-30 | 网页安全保护自动化测试方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102968594A CN102968594A (zh) | 2013-03-13 |
| CN102968594B true CN102968594B (zh) | 2015-11-04 |
Family
ID=47798730
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210424771.4A Active CN102968594B (zh) | 2012-10-30 | 2012-10-30 | 网页安全保护自动化测试方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102968594B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101557437A (zh) * | 2009-05-12 | 2009-10-14 | 厦门敏讯信息技术股份有限公司 | 一种手机软件自动测试方法及装置 |
| CN201796434U (zh) * | 2010-08-26 | 2011-04-13 | 北京思创银联科技有限公司 | 金融业务便携设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020097268A1 (en) * | 2001-01-22 | 2002-07-25 | Dunn Joel C. | Method, system, and program for a platform-independent, browser-based, client-side, test automation facility for verifying web site operation |
-
2012
- 2012-10-30 CN CN201210424771.4A patent/CN102968594B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101557437A (zh) * | 2009-05-12 | 2009-10-14 | 厦门敏讯信息技术股份有限公司 | 一种手机软件自动测试方法及装置 |
| CN201796434U (zh) * | 2010-08-26 | 2011-04-13 | 北京思创银联科技有限公司 | 金融业务便携设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102968594A (zh) | 2013-03-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11670021B1 (en) | Enhanced graphical user interface for representing events | |
| US20120159625A1 (en) | Malicious code detection and classification system using string comparison and method thereof | |
| CN110321371A (zh) | 日志数据异常检测方法、装置、终端及介质 | |
| CN102541729A (zh) | 软件安全漏洞检测装置和方法 | |
| CN102043716A (zh) | 基于业务驱动的软件自动化测试方法 | |
| CN103679030B (zh) | 一种基于动态语义特征的恶意代码分析检测方法 | |
| CN106502907A (zh) | 一种基于执行轨迹追踪的分布式软件异常诊断方法 | |
| CN110515830A (zh) | 操作轨迹可视化方法、装置、设备及存储介质 | |
| CN102682229A (zh) | 一种基于虚拟化技术的恶意代码行为检测方法 | |
| CN102831021A (zh) | 插件拦截或清理的方法及装置 | |
| CN107438049A (zh) | 一种恶意登录识别方法及装置 | |
| US20170206155A1 (en) | Executable code abnormality detection | |
| CN110865866B (zh) | 一种基于自省技术的虚拟机安全检测方法 | |
| CN103530209A (zh) | 一种密码键盘自动化测试方法 | |
| CN102968594B (zh) | 网页安全保护自动化测试方法 | |
| CN106844214A (zh) | 一种自动对页面渲染进行截图的方法及装置 | |
| CN116302984A (zh) | 一种测试任务的根因分析方法、装置及相关设备 | |
| KR102275635B1 (ko) | 함수 호출 패턴 분석을 통한 이상 검출 장치 및 방법 | |
| US20160027123A1 (en) | Automatic tagging of trial balance | |
| CN102622297A (zh) | 针对com组件导出函数参数空间及2进制数据的fuzz工具的测试用例生成方法 | |
| KR102324518B1 (ko) | 딥러닝을 기초로 서버 보안정책을 수행하는 게이트웨이 장치 및 그것의 제어 방법 | |
| CN110516440B (zh) | 基于拖拽的特权威胁行为轨迹关联回放的方法及装置 | |
| CN111782557A (zh) | 一种web应用权限的测试方法及其系统 | |
| CN101968768B (zh) | 一种基于缺陷的软件安全性测试需求的获取与分级方法 | |
| Qian et al. | Complete Web Security Testing Methods and Recommendations |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Automatic test method for security protection of web page Effective date of registration: 20181218 Granted publication date: 20151104 Pledgee: Beijing ustron Tongsheng financing Company limited by guarantee Pledgor: Strong Union Technology Co., Ltd. Registration number: 2018990001224 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |