CN106412975A - 一种内容计费漏洞的测试方法和装置 - Google Patents
一种内容计费漏洞的测试方法和装置 Download PDFInfo
- Publication number
- CN106412975A CN106412975A CN201610877825.0A CN201610877825A CN106412975A CN 106412975 A CN106412975 A CN 106412975A CN 201610877825 A CN201610877825 A CN 201610877825A CN 106412975 A CN106412975 A CN 106412975A
- Authority
- CN
- China
- Prior art keywords
- request message
- url
- content
- charging
- domain name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/06—Testing, supervising or monitoring using simulated traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/24—Accounting or billing
Abstract
本发明公开了一种内容计费漏洞的测试方法和装置,涉及通信技术领域,用以至少解决现有技术中因“只能在计费漏洞被攻击者利用之后,才能通过跟踪该攻击者的数据发现漏洞”而导致的“对运营商造成了一定的损失”的问题。该方法包括:拨测终端经被测网络向代理服务器发送访问请求消息;其中,访问请求消息中携带预定格式的请求报文,用于请求待访问内容;预定格式是待测计费漏洞的任一个测试用例所设定的格式;被测网络中包含计费设备;拨测终端接收代理服务器经被测网络发送的访问响应消息;其中,访问响应消息中包含待访问内容;拨测终端获取上述交互过程中计费设备的计费信息,并根据计费信息确定计费设备是否存在待测计费漏洞。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种内容计费漏洞的测试方法和装置。
背景技术
由于现网中存在内容计费规则配置不当或计费设备恶意报文识别机制不当的缺陷,因此,恶意用户可以通过购买、下载免费工具进行流量伪装,从而实现逃费,这给运营商造成了较大的损失。
目前,一般是在检测到某一用户的免费流量超过阈值之后,对该用户的业务流量进行跟踪,并根据跟踪过程中捕获的报文的特征来分析该计费设备是否存在内容计费漏洞(下文中称为“计费漏洞”)。
上述技术方案中,只能在用户利用计费漏洞造成逃费事件之后,且该用户再次进行逃费时,才能发现、捕获并验证存在计费漏洞;然而在发现计费设备存在计费漏洞并被利用之前,已经对运营商造成了一定的损失。
发明内容
本发明的实施例提供一种内容计费漏洞的测试方法和装置,用以至少解决现有技术中因“只能在计费漏洞被攻击者利用之后,才能通过跟踪该攻击者的数据发现漏洞”而导致的“对运营商造成了一定的损失”的问题。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,提供一种内容计费漏洞的测试方法,包括:
拨测终端经被测网络向代理服务器发送访问请求消息;其中,访问请求消息中携带预定格式的请求报文,用于请求待访问内容;待访问内容是用于进行内容计费漏洞测试的特定资源;预定格式是待测计费漏洞的任一个测试用例所设定的格式;被测网络中包含计费设备;
拨测终端接收代理服务器经被测网络发送的访问响应消息;其中,访问响应消息中包含待访问内容;
拨测终端获取上述交互过程中计费设备的计费信息,并根据计费信息确定计费设备是否存在待测计费漏洞。
第二方面,提供一种内容计费漏洞的测试方法,包括:
代理服务器接收拨测终端经计费设备发送的访问请求消息;访问请求消息中包含携带预定格式的请求报文,用于请求待访问内容;待访问内容是用于进行内容计费漏洞测试的特定资源;预定格式是待测计费漏洞的任一个测试用例所设定的格式;被测网络中包含计费设备;
代理服务器经被测网络向拨测终端发送访问响应消息,其中,访问响应消息中包含待访问内容;访问响应消息用于使拨测终端在接收到访问响应消息之后,获取上述交互过程中计费设备的计费信息,并根据计费信息确定计费设备是否存在待测计费漏洞。
第三方面,提供一种内容计费漏洞的测试方法,包括:资源服务器接收拨测终端发送的资源准备请求消息;其中,资源准备请求消息中包含请求报文中需要使用的用户提供的免费内容计费规则URL列表中的首个URL;
资源服务器根据资源准备请求消息,建立特定资源路径;特定资源路径满足请求报文中URL中的路径对于免费域名关键字的要求;
资源服务器接收代理服务器转发的来自拨测终端的访问请求消息;其中,访问请求消息中携带预定格式的请求报文,用于请求待访问内容;待访问内容是用于进行内容计费漏洞测试的特定资源;预定格式是待测计费漏洞的任一个测试用例所设定的格式;被测网络中包含计费设备;
资源服务器根据访问请求消息和特定资源路径,获取待访问内容;
资源服务器经代理服务器和被测网络向拨测终端发送访问响应消息;其中,访问响应消息中包含待访问内容,用于指示拨测终端获取上述从拨测终端发送访问请求消息至接收到访问响应消息的过程中,计费设备的计费信息,并根据计费信息确定计费设备是否存在待测计费漏洞。
第四方面,提供一种拨测终端,包括:
发送单元,用于经被测网络向代理服务器发送访问请求消息;其中,访问请求消息中携带预定格式的请求报文,用于请求待访问内容;待访问内容是用于进行内容计费漏洞测试的特定资源;预定格式是待测计费漏洞的任一个测试用例所设定的格式;被测网络中包含计费设备;
接收单元,用于接收代理服务器经被测网络发送的访问响应消息;其中,访问响应消息中包含待访问内容;
获取单元,用于获取上述交互过程中计费设备的计费信息;
判断单元,用于根据计费信息确定计费设备是否存在待测计费漏洞。
第五方面,提供一种代理服务器,包括:
接收单元,用于接收拨测终端经计费设备发送的访问请求消息;访问请求消息中包含携带预定格式的请求报文,用于请求待访问内容;待访问内容是用于进行内容计费漏洞测试的特定资源;预定格式是待测计费漏洞的任一个测试用例所设定的格式;被测网络中包含计费设备;
发送单元,用于经被测网络向拨测终端发送访问响应消息,其中,访问响应消息中包含待访问内容;访问响应消息用于使拨测终端在接收到访问响应消息之后,获取上述交互过程中计费设备的计费信息,并根据计费信息确定计费设备是否存在待测计费漏洞。
第六方面,提供一种资源服务器,包括:
接收单元,用于接收拨测终端发送的资源准备请求消息;其中,资源准备请求消息中包含请求报文中需要使用的用户提供的免费内容计费规则URL列表中的首个URL;
建立单元,用于根据资源准备请求消息,建立特定资源路径;其中,特定资源路径满足请求报文中URL中的路径对于免费域名关键字的要求;
接收单元还用于,接收代理服务器转发的来自拨测终端的访问请求消息;其中,访问请求消息中携带预定格式的请求报文,用于请求待访问内容;待访问内容是用于进行内容计费漏洞测试的特定资源;预定格式是待测计费漏洞的任一个测试用例所设定的格式;被测网络中包含计费设备;
获取单元,用于根据访问请求消息和特定资源路径,获取待访问内容;
发送单元,用于经代理服务器和被测网络向拨测终端发送访问响应消息;其中,访问响应消息中包含待访问内容,用于指示拨测终端获取上述从拨测终端发送访问请求消息至接收到访问响应消息的过程中,计费设备的计费信息,并根据计费信息确定计费设备是否存在待测计费漏洞。
本发明实施例提供的内容计费漏洞的测试方法和装置,利用携带测试用例所设定的格式的请求报文的访问请求消息进行主动拨测,其中,测试用例是待测计费漏洞的测试用例组中的任一个测试用例;并根据主动拨测过程中计费设备产生的计费信息确定计费设备是否存在待测计费漏洞。这样,无论被测网络中的用户终端是否已经利用一计费漏洞进行逃费(即无论该计费漏洞是否已被利用),只要该计费设备存在该计费漏洞,就可以被测试出来,进一步地可以采用一定的方式封堵该计费漏洞;与现有技术相比,该技术方案可以在漏洞被利用之前,验证是否存在漏洞,从而减少运营商的损失。
附图说明
图1为本发明实施例提供技术方案所适用的一种系统架构示意图;
图2为本发明实施例提供的一种漏洞测试方法的交互流程图;
图2a为本发明实施例提供的另一种漏洞测试方法的交互流程图;
图3为本发明实施例提供的另一种漏洞测试方法的交互流程图;
图4为本发明实施例提供的一种拨测终端的结构示意图;
图5为本发明实施例提供的另一种拨测终端的结构示意图;
图6为本发明实施例提供的一种代理服务器的结构示意图;
图7为本发明实施例提供的另一种代理服务器的结构示意图;
图8为本发明实施例提供的一种资源服务器的结构示意图;
图9为本发明实施例提供的另一种资源服务器的结构示意图。
具体实施方式
本发明实施例提供的技术方案所适用的系统架构如图1所示,该系统中包括:拨测终端、被测网络、代理服务器和资源服务器。其中,被测网络是指一个区域内的网络,具体可以以一个计费设备所服务的范围来划分区域。被测网络中可以包括计费设备,其中,计费设备用于进行计费。被测网络通过互联网与代理服务器或资源服务器连接,计费设备可以通过NET接入点或WAP接入点接入互联网。若计费设备通过或WAP接入点接入互联网,则被测网络中还可以包括WAP网关。
本发明实施例中的“拨测终端”可以是可以插入手机卡的智能终端,例如智能手机、平板等。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
如图2所示,是本发明实施例提供的一种内容计费漏洞的测试方法的交互示意图。图2所示的方法包括:
S101:拨测终端经被测网络向代理服务器发送访问请求消息;其中,访问请求消息中携带预定格式的请求报文,用于请求待访问内容,待访问内容是用于进行内容计费漏洞测试的特定资源;预定格式是待测计费漏洞的任一个测试用例所设定的格式;被测网络中包含计费设备。
具体的:在NET接入点下,拨测终端经计费设备向代理服务器发送访问请求消息;或者,在WAP接入点下,拨测终端依次经计费设备和WAP网关向计费设备发送访问请求消息。
被测网络中的用户终端(即正常访问网络资源的终端设备)发送的访问请求消息与拨测终端发送的访问请求的共同点在于,均是用于请求某种资源,其中,该资源可以包括但不限于图片、音频、视频等文件以及网页资源等。区别在于,拨测终端发送的访问请求中的请求报文的格式是待测计费漏洞的一个测试用例所设定的格式,并且请求报文中所请求的网络资源可以是为了实现内容计费漏洞的测试而专门准备的特定资源,其中,该特定资源可以指定该资源的内容、大小等。具体的,可以理解为:用户终端发送的访问请求消息携带正常格式的请求报文,而拨测终端发送的访问请求消息携带特殊格式的请求报文(即非正常格式的请求报文);另外可以理解为:拨测终端发送的访问请求消息中携带的请求报文是恶意构造的请求报文,即具有正常报文不具有的格式及特征。其中,关于测试用例的格式可以参考下文。需要说明的是,如果不加说明,本文中所涉及的“访问请求消息”均是指拨测终端发送的访问请求消息。
实际实现时,计费设备可以存在一种或多种类型的计费漏洞,待测计费漏洞可以是任一种类型的计费设备。拨测终端可以利用一组测试用例(包括一个或多个测试用例)的测试结果(即测试成功或测试失败)及计费信息来判断计费设备中是否存在某种类型的计费漏洞。测试用例可以是拨测终端根据用户提供的内容计费规则URL列表自动生成的,也可以是用户自己定义编写后直接导入至拨测终端中的。其中,关于拨测终端根据内容计费规则URL列表自动生成测试用例的具体实现可以参考下文。
S102:代理服务器接收被测网络发送的访问请求消息。
具体的,WAP网关具有修正特殊报文的功能,因此,在测试WAP接入点下计费设备是否存在计费漏洞时,WAP网关可以对访问请求消息中携带的、且该WAP网关能够修正的非正常格式的请求报文进行修正,从而得到正常格式的请求报文,该情况下,代理服务器接收到的访问请求消息中所携带的请求报文的格式正常。在NET接入点下,代理服务器接收到的访问请求消息与拨测终端发送的访问请求消息相同。
S103:代理服务器根据访问请求消息,获取访问响应消息;其中,访问响应消息中包含待访问内容。
具体的,代理服务器根据访问请求消息,从资源服务器上获取访问响应消息。可选的,在WAP接入点下,代理服务器可以对访问请求消息中携带的、且WAP网关不能修正的非正常格式的请求报文进行修正,得到正常格式的请求报文;接着,利用正常格式的请求报文从资源服务器上获取待访问内容。在NET接入点下,代理服务器直接利用访问请求消息中携带的请求报文从资源服务器上获取待访问内容。
S104:代理服务器经被测网络向拨测终端发送访问响应消息。
S105:拨测终端接收访问响应消息,并获取上述交互过程(即S101-S104的交互过程)中计费设备的计费信息,并根据该计费信息确定计费设备是否存在待测计费漏洞。其中,计费信息可以是已计费或未计费。
在代理服务器向拨测终端回复访问响应消息的过程中,访问响应消息经计费设备之后,若计费设备存在待测计费漏洞,则计费设备不会对该过程中产生的流量进行计费(即将此流量记为免费流量);若计费设备不存在待测计费漏洞,则计费设备会对该过程中产生的流量进行计费(即将此流量记为计费流量)。因此,拨测终端可以通过获取计费设备的计费信息,来确定被测网络中是否存在待测计费漏洞。示例的,拨测终端可以通过与用户网上营业厅进行信息交互,获得该计费信息;或者,由用户从网上营业厅中查询该计费信息,然后将该计费信息输入到拨测终端中。
若待测计费漏洞的测试用例只有一个,则拨测终端根据该测试用例对应的计费信息来判断计费设备是否存在待测计费漏洞。若待测计费漏洞的测试用例有多个,则针对每个测试用例执行S101-S104之后,都可以得到一个计费信息;该情况下,拨测终端根据待测计费漏洞的各漏洞测试用例对应的计费信息来判断计费设备是否存在待测计费漏洞。
若待测计费漏洞的任意一个测试用例对应的计费结果是“未计费”,则说明计费设备存在待测计费漏洞。具体的,若拨测终端确定访问响应消息与预设访问响应消息一致,且待测计费漏洞的任意一个测试用例对应的计费结果是“未计费”,则说明计费设备存在待测计费漏洞。
本发明实施例提供的内容计费漏洞的测试方法中,利用携带测试用例所设定的格式的请求报文的访问请求消息进行主动拨测,其中,测试用例是待测计费漏洞的测试用例组中的任一个测试用例;并根据主动拨测过程中计费设备产生的计费信息确定计费设备是否存在待测计费漏洞。这样,无论被测网络中的用户终端是否已经利用此计费漏洞进行逃费(即无论该计费漏洞是否已被利用),只要该计费设备存在该计费漏洞,就可以被测试出来,进一步地可以采用一定的方式封堵该计费漏洞;与现有技术相比,该技术方案可以在漏洞被利用之前,验证是否存在漏洞,从而减少运营商的损失。
另外,在利用现有技术中的方法实现内容计费漏洞的测试的过程中,为了避免过多核查正常用户的业务流量,免费流量阈值通常统计周期较长,阈值设定较大,造成部分恶意用户可以通过更换不同SIM卡、每月使用的逃费流量封顶(即不超过运营商免费流量阈值)等多种途径规避运营商核查风险,造成大量难以察觉的逃费行为,从而对运营商造成了一定的损失。本发明实施例提供的技术方案中,可以在计费漏洞被利用之前即测试出存在该计费漏洞,进一步地,可以采用一定的方式封堵该计费漏洞;这样,无论恶意用户是否更换SIM卡,如何设置每月使用的逃费流量封顶等途径来规避阈值风险,均能够发现该计费设备的漏洞,被恶意用户利用造成损失。
可选的,S105中的“拨测终端获取上述交互过程中计费设备的计费信息”可以包括:拨测终端在确定访问响应消息与预设访问响应消息一致的情况下,获取上述交互过程中所述计费设备的计费信息。具体的:拨测终端判断访问响应消息与预设响应消息是否一致,若访问响应消息与预设响应消息一致,则获取上述交互过程中所述计费设备的计费信息。
其中,拨测终端判断访问响应消息与预设响应消息是否一致的方法可以包括:从发送访问请求消息至接收到访问响应消息之间所花费的时间是否超时,该情况下,若超时,则表示访问响应消息与预设响应消息不一致,若未超时,则进一步根据以下方式中的任一种判断访问响应消息与预设响应消息是否一致,示例的,可以根据测试人员选定以下方式中的任一种:①检测访问响应消息中携带的文件内容是否与预设文件内容是否一致;②检测访问响应消息中携带的HTTP响应码是否与预设响应码是否一致;③检测访问响应消息所产生的流量大小与预期流量大小是否一致,例如,若访问响应消息所产生的流量大于或等于2M,则认为访问响应消息与预设响应消息一致。具体实现时,若利用上述某一种方式进行检测的结果表明访问响应消息与预设响应消息不一致,则拨测终端可以记录测试失败的原因,所记录的测试失败的原因可以供用户查询。
基于该可选的实现方式,若访问响应消息与预设访问响应消息一致,则认为测试成功(即:对S101中的测试用例的测试是成功的),否则认为测试失败。若待测计费漏洞的每个测试用例均测试成功,且任意一个或多个测试用例对应的计费结果是“未计费”,则说明计费设备存在待测计费漏洞;若待测计费漏洞的每个测试用例均测试成功,且每个测试用例对应的计费结果是“已计费”,则说明计费设备不存在待计费漏洞。若待测计费漏洞的任意一个或多个测试用例测试失败,由于测试失败的原因可能是:出现了被侧网络故障,或者代理服务器宕机等,因此,该情况下,不能说明被测网络不存在待计费漏洞。
从S101中拨测终端发送访问请求消息至得到测试结果(即测试成功或测试失败)的过程,可以称为“对一个测试用例的测试过程”;然而,具体实现时,可能需要利用多个测试用例来测试是否存在一种类型的计费漏洞,或者,可能需要测试被测网络中是否存在多种类型的计费漏洞。并且,某些计费漏洞的测试过程之间存在关联性,例如,只有在对测试用例“URL的域名与Host字段的域名不一致”测试成功之后,对测试用例“未指定协议名称的URL”测试才有意义(否则必然会失败)。基于此,本发明实施例还提供了在拨测终端设置多个测试用例之间的执行逻辑的实施例,具体包括:
设置一个测试用例组内的多个测试用例,以及多个测试用例组之间的执行逻辑。具体实现时,用户可以设定一个测试用例组中包含哪些测试用例及其之间的执行逻辑。示例的,一个测试用例组中的多个测试用例的执行逻辑可以是:由首个测试用例开始顺序执行(即:多个测试用例的执行顺序),执行到首个测试用例测试成功为止,不再执行剩余未执行的测试用例(即该测试用例组执行结束);其中隐含每个测试用例的执行条件,即:若第i个测试用例测试失败,则执行第i+1个测试用例,i是大于或等于1的整数。需要说明的是,在一个测试用例组中,若该组中的任何一个测试用例测试成功,则说明该测试用例组测试成功,若该组中的每个测试用例均未测试成功,则说明该测试用例组测试失败。
多个测试用例组之间的执行逻辑可以包括但不限于以下信息中的至少一种:多个测试用例组之间的顺序执行(例如,无条件的执行下一个测试用例组),多个测试用例组的条件执行(例如,根据上一测试用例组的测试结果,即:测试成功或测试失败,有条件地执行下一个测试用例组)等。示例的,多个测试用例组之间的执行逻辑可以是:条件后置关系,例如,执行了一个测试用例组(即前置用例组)之后,并在该测试用例组达到预期效果(即测试成功或测试失败)之后,才执行后置的测试用例组,否则执行另外的后置用例组;也可以是:并行关系,即非条件的顺序关系,即:无论前置用例组的执行结果如何,都将在执行完其所有测试结果的后置用例组之后,执行该用例组。
设置一个测试用例组内的多个测试用例之间的执行逻辑,和多个测试用例组之间的执行逻辑之后,可以形成测试组执行逻辑树。需要说明的是,在本发明实施例中,支持拨测终端设置默认的或用户设置逻辑树中的部分执行逻辑或全部执行逻辑,并且,可以根据需要修改逻辑树中的部分执行逻辑或全部执行逻辑。
基于但不限于上述设置多个测试用例的执行逻辑的方法,上述S101可以包括:拨测终端按照测试用例组的执行逻辑,向代理服务器发送访问请求消息。
可选的,在拨测终端和代理服务器执行多个测试用例的过程中,可以预先在拨测终端中设置执行模式,执行模式可以包括但不限于:①立即执行模式,即在执行完一个测试用例组之后,立即执行下一个测试用例组;②自动跳转飞行模式测试模式,例如,在执行完一个测试用例组之后,拨测终端自动切换为飞行模式,保持飞行模式3分钟(或其他预设时间段),关闭飞行模式,1分钟后,开始执行下一个测试用例组;③间隔预设时间段模式,例如,在执行完一个测试用例组之后,间隔30分钟开始执行下一个测试用例组,正在执行的测试用例组内的多个测试用例连续执行,无需间隔。需要说明的是,利用执行模式③时,通过设置合适的预设时间段,可以使得每次执行测试用例组的过程中的计费信息独立,以有效避免因计费设备将多次测试用例组的过程中所产生的计费信息合并(其中,合并后,多次测试的流量将被记录到一个话单中,但计费话单中只能显示首次测试发生的时间,无法判断该话单中具体合并了后续哪些测试用例组的流量),而导致的用户不能将计费漏洞信息与其测试用例组对应起来的计费结果是“已计费”还是“未计费”的问题的发生。
可选的,测试用例可以包含通用机制缺陷类测试用例或配置漏洞类测试用例,具体实现时,不限于此,理论上,任何一种预先确定其格式的漏洞均可以通过本文所提供的内容计费漏洞的测试方法进行测试。其中,通用机制缺陷类测试用例,可以理解为:对因计费设备机制缺陷而导致的漏洞进行测试的过程中所使用的测试用例;配置漏洞类测试用例,可以理解为:对因人工配置错误而导致的漏洞进行测试的过程中所使用的测试用例。可选的,若被测网络的接入点是WAP类型的接入点,则测试用例可以包括:通用机制缺陷类测试用例和配置漏洞类测试用例中的至少一种;若被测网络的接入点是NET类型的接入点,则测试用例可以包括配置漏洞类测试用例。
若测试用例是通用机制缺陷类测试用例,该情况下,被测网络的接入点是WAP类型的接入点;则请求报文具有以下特征中的任一种:
1)、请求报文包含两个Host字段,且该两个Host字段的域名不一致。具有该特征的测试用例可以包含两个测试用例,其中每个测试用例都采用rfc2396中定义的相对形式URL格式,每个测试例中的两个Host字段中的一个Host字段的域名为读取到的用户提供的免费内容计费规则URL列表中的首个URL(即免费域名),另一个Host字段的域名为拨测程序内置的代理服务器域名。这两个测试用例的差别在于所包含的两个Host字段中的免费域名的顺序不同,具体的:一个测试用例中的免费域名在前,另一个测试用例中的免费域名在后。具体实现时,可以将这两个测试用例分别命名为:“请求报文含有两个Host字段-免费关键字在前(即测试用例1)”,“请求报文含有两个Host字段-免费关键字在后(即测试用例2)”,且一般将这两个测试用例作为一个测试用例组,如表1所示。需要说明的是,正常格式的请求报文中只应含有一个Host字段。
2)、请求报文包含两个X-Online-Host字段,且该两个X-Online-Host字段的域名不一致。具有该特征的测试用例可以包含两个测试用例,其中每个测试用例都采用rfc2396中规定的相对形式URL格式,每个测试例中的两个X-Online-Host字段中的一个X-Online-Host字段的域名为读取到的用户提供的免费域名,另一个X-Online-Host字段的域名为代理服务器域名。这两个测试用例都只具有一个Host字段,值可以为10.0.0.172。这两个测试用例的差别在于所包含的两个X-Online-Host字段中的免费域名的顺序不同,具体的:一个测试用例中的免费域名在前,另一个测试用例中的免费域名在后。具体实现时,可以将这两个测试用例分别命名为:“请求报文含有两个X-Online-Host字段-免费关键字在前(即测试用例3)”,“请求报文含有两个X-Online-Host字段-免费关键字在后(即测试用例4)”,且一般将这两个测试用例作为一个测试用例组,如表1所示。需要说明的是,正常格式的请求报文中只应含有一个X-Online-Host字段或没有该字段。
3)、请求报文中的URL的域名与Host字段的域名不一致。具有该特征的测试用例可以包含两个测试用例,其中每个测试用例都采用rfc2396中定义的绝对形式URL,每个测试例中的URL的域名和Host字段的域名,一个为读取到的用户提供的免费域名,另一个为代理服务器域名。这两个测试用例都不使用X-Online-Host字段。这两个测试用例的差别在于所包含的两个X-Online-Host字段中的免费域名所在的位置不同,具体的:一个测试用例中的免费域名在URL中,另一个测试用例中的免费域名在Host字段中。具体实现时,可以将这两个测试用例分别命名为:“请求报文中的URL的域名与Host的域名不一致-免费域名在URL中(即测试用例5)”,“请求报文中的URL的域名与Host的域名不一致-免费域名在Host中(即测试用例6)”,且一般将这两个测试用例作为一个测试用例组,如表1所示。需要说明的是,正常格式的请求报文中URL的域名与Host字段的域名一致。
4)、请求报文中的URL的域名与X-Online-Host字段的域名不一致。具有该特征的测试用例可以包含两个测试用例,其中每个测试用例都采用绝对形式URL,每个测试例中的URL的域名和X-Online-Host字段的域名中的一个为读取到的用户提供的免费域名,另一个为拨测程序内置的代理服务器域名。这两个测试用例都只含有一个Host字段,值可以为10.0.0.172。这两个测试用例报文的差别在于免费域名所在的位置不同,具体的:一个测试用例中的免费域名在URL中,另一个测试用例中的免费域名在X-Online-Host字段中。具体实现时,可以将这两个测试用例分别命名为:“请求报文中的URL的域名与X-Online-Host的域名不一致-免费域名在URL中(即测试用例7)”,“请求报文中的URL的域名与X-Online-Host的域名不一致-免费域名在X-Online-Host中(即测试用例8)”,且一般将这两个测试用例作为一个测试用例组,如表1所示。需要说明的是,正常格式的请求报文中URL的域名与X-Online-Host字段的域名一致。
5)、请求报文中的Host字段的域名与X-Online-Host字段的域名不一致。具有该特征的测试用例可以包含两个测试用例,其中每个测试用例都采用rfc2396中规定的相对形式URL,每个测试例中的Host字段的域名和X-Online-Host字段的域名中,一个为免费域名,另一个为代理服务器域名。这两个测试用例请求报文的差别在于免费域名所在的位置不同,具体的:一个测试用例中的免费域名在Host字段中,另一个测试用例中的免费域名在X-Online-Host字段中。具体实现时,可以将这两个测试用例分别命名为:“请求报文中的Host的域名与X-Online-Host的域名不一致-免费域名在Host中(即测试用例9)”,“请求报文中的Host与X-Online-Host的域名不一致-免费域名在X-Online-Host中(即测试用例10)”,且一般将这两个测试用例作为一个测试用例组,如表1所示。需要说明的是,正常格式的请求报文中Host字段的域名与X-Online-Host字段的域名一致。
6)、请求报文采用未指定协议名称的URL。具有该特征的测试用例可以包含两个测试用例,其中每个测试用例都采用非标准的URL形式(即:RFC2396中未明确定义的形式,既非以“http://”开头的绝对形式,又非以“/”开头引导的相对形式),分别在Host字段和URL开头位置使用了免费域名和代理服务器域名。这两个测试用例请求报文的差别在于免费域名的所在位置不同,具体的:一个测试用例中的免费域名在Host字段中,另一个测试用例的免费域名在URL开头位置(没有使用协议名称引导)。具体实现时,可以将这两个测试用例分别命名为“请求报文采用未指定协议名称的URL-免费域名在Host中(即测试用例11)”,“请求报文采用未指定协议名称的URL-免费域名在URL开头(即测试用例12)”,且一般将这两个测试用例作为一个测试用例组,如表1所示。需要说明的是,正常格式的请求报文采用rfc2396中定义的标准协议格式的URL,URL开头位置具有协议描述符(如http://),或者由“/”引导。
7)、请求报文中采用两个Get语句且该两个Get语句中的URL不一致。具有该特征的组测试用例可以包含两个测试用例,其中每个测试用例都采用两个Get语句,每个测试用例中的两个Get语句中的URL中的域名不一致,其中一个域名为免费域名,另一个域名为代理服务器域名。这两个测试用例都使用Host字段,值可以为10.0.0.172。这两个测试用例请求报文的差别在于免费域名的所在位置不同,具体的:一个测试用例中的免费域名在前一个Get语句中,另一个测试用例中的免费域名在后一个Get语句中。具体实现时,可以将这两个测试用例分别命名为:“请求报文中采用两个Get语句且两个Get语句中的URL不一致-免费域名在前一个Get语句中(即测试用例13)”,“请求报文中采用两个Get语句且两个Get语句中的URL不一致-免费域名在后一个Get语句中(即测试用例14)”,且一般将这两个测试用例作为一个测试用例组,如表1所示。需要说明的是,正常格式的请求报文采用一个Get语句。
8)、请求报文采用Content-Type字段内容为彩信标识且URL与Host字段的域名不一致(即测试用例15)。具有该特征的组测试用例可以有一个测试用例,该测试用例采用绝对形式URL,URL的域名与Host字段的域名不一致。URL的域名为代理服务器域名,Host的域名为免费站点域名。请求报文中还携带一个content-type字段,该字段具有特殊的值“mms-message”,如表1所示。需要说明的是,正常格式的请求报文URL中的域名应与Host字段一致。
9)、请求报文中采用不规范字段结束符(即测试用例16),其中,该不规范字段结束符可以是‘\r’。具有该特征的组测试用例可以有一个测试用例,该测试用例采用相对形式URL,请求报文只含有一个Host字段,但此Host字段中携带了两个域名,其中首个域名为代理服务器域名,之后还携带一个免费站点域名。两个域名之间利用字符‘\r’分隔(标准字段结束符为'\r\n'),如表1所示。需要说明的是,正常格式的请求报文Host字段中只含有一个域名,并且以字符‘\r\n’结束。
10)、请求报文中的URL的路径名称中携带免费域名关键字(即测试用例17)。具有该特征的组测试用例可以有一个测试用例,其采用绝对式URL,其中URL的域名为代理服务器域名,URL中的path部分包含免费域名的关键字。请求报文中Host字段域名为代理服务器域名,如表1所示。需要说明的是,该请求报文的格式正常,只是在URL的path路径中,制造并使用了与免费域名相同的路径名称。
11)、请求报文中包含两个HTTP Header,且两个Header中请求的URL域名不一致。具有该特征的测试用例可以包含两个测试用例,其中每个测试用例都采用两个HTTPHeader,并且每个用例中的两个HTTP Header中所请求的URL属于不同的域名。其中一个Header中URL的域名为免费域名,另一个Header中URL的域名为代理服务器域名。该用例中的两个用例请求都使用绝对形式的URL,且不使用X-Online-Host字段。两个测试用例请求报文的差别在于免费域名的所在Header的顺序不同,具体的:一个测试用例中的免费域名在首个Header中,另一个测试用例中的免费域名在第二个Header中。具体实现时,两个测试用例的名称分别为“请求报文中含有两个HTTP Header且两个Header中的请求URL域名不一致-免费域名在前(即测试用例18)”,“请求报文中含有两个HTTP Header且两个Header中的请求URL域名不一致-免费域名在后(即测试用例19)”,且一般将这两个测试用例作为一个测试用例组,如表1所示。需要说明的是,正常格式的请求报文如果含有两个HTTP header,那么两个Header中所包含的域名必然一致。
12)、请求报文中包含的IP五元组与其他请求报文中包含的IP五元组相同,且两个请求报文中的URL域名不一致。具有该特征的测试用例可以包含两个测试用例,其中每个测试用例都使用相同的IP五元组,先后发送两次请求,并且两个请求的域名不一致,一个请求指向免费站点的域名,一个请求指向代理服务器的域名。每个请求都使用绝对形式URL,都不使用X-Online-Host字段,请求中的Host字段域名与其请求的URL中的域名内容一致。两个测试用例请求报文的差别在于免费域名的所在的请求发送顺序不同,即先发送包含免费域名的请求还是先发送请求代理服务器站点的请求。具体实现时,两个测试用例的名称分别为“相同IP五元组发送多个请求报文指向不同站点-免费域名在前(即测试用例20)”,“请求报文中含有两个HTTP Header且两个Header中的请求URL域名不一致-免费域名在后(即测试用例21)”,且一般将这两个测试用例作为一个测试用例组,如表1所示。需要说明的是,正常格式的报文不会使用相同的IP五元组发送两个不同的请求。
示例的,若测试用例是配置漏洞类测试用例,则请求报文具有以下特征中的任一种:
13)、若被测网络的接入点是NET类型的接入点,则请求报文中的目的IP地址与URL域名指向不一致(即测试用例编号20000+2*(M-1))。具有该特征的测试用例组中只有一个测试用例。请求报文中3层IP为代理服务器的IP地址,7层的URL的域名为用户提供的免费域名,其URL中的资源路径为代理服务器上的资源路径。请求报文采用绝对URL形式,其Host字段域名与URL的域名一致,如表2所示。需要说明的是,正常格式的报文3层IP地址与7层URL域名应该是对应的,即域名所在的服务器的IP地址与其IP地址一致。
14)、若被测网络的接入点是WAP类型的接入点,则请求报文中的请求站点的域名具有免费域名关键字的前缀(即测试用例编号20000+2*M-1)。具有该特征的测试用例组中只有一个测试用例。请求报文中使用绝对形式URL,其Host字段与URL中域名一致。请求报文的URL的域名具有以下特征,将用户提供的免费域名关键字作为代理服务器域名的二级域名(代理服务器域名作为一级域名),构成用例中URL请求的站点的域名,故用户提供的免费域名的关键字形成了该用例请求中的代理服务器域名的前缀,如表2所示。需要说明的是,该请求报文的格式正常,只是在请求站点的URL域名中,制造并使用了与免费域名相同的域名作为实际请求域名的前缀。
需要说明的是,若测试用例是通用机制缺陷类测试用例,则拨测终端可以根据用户提供的免费内容计费规则URL列表中的首个URL,生成所有的测试用例。例如,用户提供的免费内容计费规则URL列表中的首个URL中域名为INPUT,代理服务器使用的域名为PROXY.com,程序内置的通用字段为CONSTANT,其中,通用字段用来写入一些不影响测试过程的内容,来标记测试所产生的流量;那么,所生成的测试用例的主要信息如表1所示。
若测试用例是配置漏洞类测试用例,例如用户提供的免费内容计费规则URL列表中的URL分别为:INPUT1、INPUT2、……INPUTN,(即共有N条URL)代理服务器使用的域名为PROXY.com,代理服务器使用的IP地址为ip1.ip2.ip3.ip4,通用字段为CONSTANT,那么,所生成的测试用例的主要信息如上述表2所示。
表1和表2中所使用的CONSTANT字段的内容可以是:
User-Agent:Mozilla/5.0(Windows NT6.1;rv:19.0)
表1
表2
其中,M为1到N的任意自然数1。即每条规则产生两个测试用例。
需要说明的是,具体实现时,首先,用户在拨测终端上插入被测网络的SIM卡,并配置相应的测试接入点信息(例如,3GWAP接入点,3GNET接入点等);然后,在拨测终端上安装拨测APP;接着,用户将指定的内容计费规则免费URL列表导入至拨测APP,并向拨测APP发出指示信息,该指示信息用于指示拨测APP生成通用机制缺陷类测试用例对应的测试用例,还是配置漏洞类测试用例对应的测试用例;拨测APP根据免费内容计费规则URL列表以及该指示信息生成相应的测试用例。接着,拨测终端可以存储所生成的测试用例,可选的,还可以在拨测终端上显示所生成的测试用例,以使用户根据所显示的测试用例表确定待测漏洞的测试用例或测试用例组等。
可选的,对于某些特定的测试用例(即测试用例17)来说,在执行S101-S104之前,拨测终端与代理服务器通过信息交互,使得代理服务器生成相应的资源,该资源具有测试所需要的特定的路径。具体的,如图2a所示,该方法还可以包括:
S100a:拨测终端向资源服务器发送资源准备请求消息;其中,资源准备请求消息中包含上述请求报文中需要使用的用户提供的免费内容计费规则URL列表中的首个URL(即包含用于生成相应资源路径的首个URL的域名),以指示代理服务器建立特定资源路径;特定资源路径满足请求报文中URL中的路径对于免费域名关键字的要求。
其中,资源准备请求消息中还可以包括:特定路径,文件内容,文件格式等信息。代理服务器存储资源准备请求消息中所携带的信息,并在拨测终端请求该文件时,响应该文件。
S100b:资源服务器接收资源准备请求消息,并根据资源准备请求消息中所携带的URL建立特定的资源,该资源具有特定的路径,用于使代理服务器对访问请求消息进行响应。
需要说明的是,图2a中以“S103具体为:代理服务器根据访问请求消息,从资源服务器上获取访问响应消息”为例进行说明的。具体包括:
S103.1:代理服务器向资源服务器发送访问请求消息。
S103.2:资源服务器接收代理服务器发送的访问请求消息,并根据该访问请求消息和S100b中建立的特定路径,获取访问响应消息。
S103.3:资源服务器向代理服务器发送访问响应消息。
可选的,如图3所示,在S102之后,该方法还可以包括:
S102a:代理服务器根据URL域名中的主机名,对请求报文进行修正。
该情况下,S103可以包括:代理服务器根据修正后的请求报文获取所述访问响应消息。
示例的,代理服务器根据请求报文的域名中的主机名中的具体值来实现,例如,假设域名格式为X.PROXY.com,则代理服务器提取主机名“X”内容来进行判断。具体的:若“X”为11或12时,则应剔除URL中“?”字符后的全部URL内容,直至该字段结束;若“X”为13或14时,则应剔除报文中的第二个Get语句。当“X”为其它值时,WAP类型的接入点可以对这些其他值所表示的测试用例进行修正,因此,代理服务器可以不对这些测试用例进行修正。当然,具体实现时,若WAP类型的接入点没有对这些其他值所表示的测试用例进行修正,则代理服务器可以按照WAP类型的接入点所执行的修正方法对这些其他值所表示的测试用例进行修正。
本发明实施例还提供了与上文所述的方法实施例对应的装置实施例,以下装置实施例中相关内容的解释均可以参考上文,此处不再赘述。
如图4所示,是本发明实施例提供的一种拨测终端的结构示意图。图4所示的拨测终端4用于执行上文所提供的任一种内容计费漏洞的测试方法中拨测终端所执行的动作,拨测终端4可以包括相应步骤所对应的模块,示例的,可以包括:发送单元41、接收单元42、获取单元43和判断单元44。其中:
发送单元41,用于经被测网络向代理服务器发送访问请求消息;其中,访问请求消息中携带预定格式的请求报文,用于请求待访问内容;待访问内容是用于进行内容计费漏洞测试的特定资源;预定格式是待测计费漏洞的任一个测试用例所设定的格式;被测网络中包含计费设备。
接收单元42,用于接收代理服务器经被测网络发送的访问响应消息;其中,访问响应消息中包含待访问内容。
获取单元43,用于获取上述交互过程中计费设备的计费信息。
判断单元44,用于根据计费信息确定计费设备是否存在待测计费漏洞。
可选的,获取单元43具体用于:在确定访问响应消息与预设访问响应消息一致的情况下,获取上述交互过程中计费设备的计费信息。
可选的,若被测网络的接入点是WAP类型的接入点,则测试用例包括:通用机制缺陷类测试用例或配置漏洞类测试用例;
若被测网络的接入点是NET类型的接入点,则测试用例包括配置漏洞类测试用例。
可选的,若测试用例是通用机制缺陷类测试用例,则请求报文具有以下特征中的任一种:请求报文包含两个Host字段,且两个Host字段的域名不一致;请求报文包含两个X-Online-Host字段,且两个X-Online-Host字段的域名不一致;请求报文中的URL的域名与Host字段的域名不一致;请求报文中的URL的域名与X-Online-Host字段的域名不一致;请求报文Host字段的域名与X-Online-Host字段的域名不一致;请求报文采用未指定协议名称的URL;请求报文采用两个Get语句且两个Get语句中的URL不一致;请求报文采用Content-Type字段内容为彩信标识且URL与Host字段的域名不一致;请求报文中采用不规范字段结束符;请求报文中的URL的路径名称中携带免费域名关键字;请求报文中包含两个HTTP Header,且两个Header中的请求URL域名不一致;请求报文中包含的IP五元组与其他请求报文中包含的IP五元组相同,且请求报文与其他请求报文指向不同的站点。
可选的,测试用例是配置漏洞类测试用例;若被测网络的接入点是NET类型的接入点,则请求报文的特征包括:请求报文中的目的IP地址与域名指向不一致;或者,若被测网络的接入点是WAP类型的接入点,则请求报文的特征包括:请求报文中的请求站点的域名具有免费域名关键字的前缀。
可选的,请求报文中的URL的路径名称中携带免费域名关键字。该情况下,发送单元41还用于,向代理服务器发送资源准备请求消息;其中,资源准备请求消息中包含请求报文中需要使用的用户提供的免费内容计费规则URL列表中的首个URL,以指示代理服务器建立特定资源路径;特定资源路径满足请求报文中URL中的路径对于免费域名关键字的要求。
本发明实施例提供的拨测终端4用于执行上文所提供的任一种漏洞测试方法中拨测终端的动作,因此,其所能达到的有益效果可以参考上文,此处不再赘述。
在硬件实现上,上文中的发送单元41和接收单元42均可以被称为收发器(或收发机,或收发天线等)。上述获取单元43和判断单元44可以以硬件形式内嵌于或独立于拨测终端4的处理器中,也可以以软件形式存储于拨测终端4的存储器中,以便于处理器调用执行以上各个模块对应的操作。
如图5所示,是本发明实施例提供的一种拨测终端的结构示意图。图5所示的拨测终端5用于执行上文所提供的任一实施例中拨测终端所执行的动作,本实施例中相关内容的解释可以参考上文,此处不再赘述拨测终端5可以包括:存储器51、通信接口52、处理器53和系统总线54。通信接口52和处理器53通过系统总线54连接。
存储器51用于存储计算机执行指令,当拨测终端5运行时,处理器53执行存储器51存储的计算机执行指令,以使拨测终端5执行上述任一实施例中拨测终端的动作。具体的,拨测终端所执行的动作可以参见上文中的相关描述,此处不再赘述。
本实施例还提供一种存储介质,该存储介质可以包括存储器51。
在具体实现过程中,上述任一实施例中拨测终端所执行的各步骤均可以通过硬件形式的处理器53执行存储器51中存储的软件形式的计算机执行指令实现。为避免重复,此处不再赘述。由于本发明实施例中的拨测终端5可以用于执行上述方法流程,因此,其所能获得的技术效果也可参考上述方法实施例,本发明实施例在此不再赘述。
如图6所示,是本发明实施例提供的一种代理服务器的结构示意图。图6所示的代理服务器6用于执行上文所提供的任一种内容计费漏洞的测试方法中代理服务器所执行的动作,代理服务器6可以包括相应步骤所对应的模块,示例的,可以包括:接收单元61和发送单元62。其中:
接收单元61,用于接收拨测终端经计费设备发送的访问请求消息;访问请求消息中包含携带预定格式的请求报文,用于请求待访问内容;待访问内容是用于进行内容计费漏洞测试的特定资源;预定格式是待测计费漏洞的任一个测试用例所设定的格式;被测网络中包含计费设备。
发送单元62,用于经被测网络向拨测终端发送访问响应消息,其中,访问响应消息中包含待访问内容;访问响应消息用于使拨测终端在接收到访问响应消息之后,获取上述交互过程中计费设备的计费信息,并根据计费信息确定计费设备是否存在待测计费漏洞。
可选的,代理服务器还可以包括:修正单元63和获取单元64。修正单元63,用于根据URL域名中的主机名,对请求报文进行修正。获取单元64,用于利用修正后的请求报文获取访问响应消息。
本发明实施例提供的代理服务器6用于执行上文所提供的任一种漏洞测试方法中代理服务器的动作,因此,其所能达到的有益效果可以参考上文,此处不再赘述。
在硬件实现上,接收单元61和发送单元62均可以被称为收发器。修正单元63和获取单元64可以以硬件形式内嵌于或独立于代理服务器6的处理器中,也可以以软件形式存储于代理服务器6的存储器中,以便于处理器调用执行以上各个模块对应的操作。
如图7所示,是本发明实施例提供的一种代理服务器的结构示意图。图7所示的代理服务器7用于执行上文所提供的任一实施例中代理服务器所执行的动作,本实施例中相关内容的解释可以参考上文,此处不再赘述代理服务器7可以包括:存储器71、通信接口72、处理器73和系统总线74。通信接口72和处理器73通过系统总线74连接。
存储器71用于存储计算机执行指令,当代理服务器7运行时,处理器73执行存储器71存储的计算机执行指令,以使代理服务器7执行上述任一实施例中代理服务器的动作。具体的,代理服务器所执行的动作可以参见上文中的相关描述,此处不再赘述。
本实施例还提供一种存储介质,该存储介质可以包括存储器71。
在具体实现过程中,上述任一实施例中代理服务器所执行的各步骤均可以通过硬件形式的处理器73执行存储器71中存储的软件形式的计算机执行指令实现。为避免重复,此处不再赘述。由于本发明实施例中的代理服务器7可以用于执行上述方法流程,因此,其所能获得的技术效果也可参考上述方法实施例,本发明实施例在此不再赘述。
如图8所示,是本发明实施例提供的一种资源服务器的结构示意图。图8所示的资源服务器8用于执行上文所提供的任一种内容计费漏洞的测试方法中资源服务器所执行的动作,资源服务器8可以包括相应步骤所对应的模块,示例的,可以包括:接收单元81、建立单元82、获取单元83和发送单元84。其中:
接收单元81,用于接收拨测终端发送的资源准备请求消息;其中,资源准备请求消息中包含请求报文中需要使用的用户提供的免费内容计费规则URL列表中的首个URL。
建立单元82,用于根据资源准备请求消息,建立特定资源路径;特定资源路径满足请求报文中的URL中的路径对于免费域名关键字的要求。
接收单元81还用于,接收代理服务器转发的来自拨测终端的访问请求消息;其中,访问请求消息中携带预定格式的请求报文,用于请求待访问内容;待访问内容是用于进行内容计费漏洞测试的特定资源;预定格式是待测计费漏洞的任一个测试用例所设定的格式;被测网络中包含计费设备;
获取单元83,用于根据访问请求消息和特定资源路径,获取待访问内容;
发送单元84,用于经代理服务器和被测网络向拨测终端发送访问响应消息;其中,访问响应消息中包含待访问内容,用于指示拨测终端获取上述从拨测终端发送访问请求消息至接收到访问响应消息的过程中,计费设备的计费信息,并根据计费信息确定计费设备是否存在待测计费漏洞。
本发明实施例提供的资源服务器8用于执行上文所提供的任一种漏洞测试方法中资源服务器的动作,因此,其所能达到的有益效果可以参考上文,此处不再赘述。
在硬件实现上,上文中的接收单元81和发送单元84均可以被称为收发器。上述建立单元82和获取单元83可以以硬件形式内嵌于或独立于资源服务器8的处理器中,也可以以软件形式存储于资源服务器8的存储器中,以便于处理器调用执行以上各个模块对应的操作。
如图9所示,是是本发明实施例提供的一种资源服务器的结构示意图。图9所示的资源服务器9用于执行上文所提供的任一实施例中资源服务器所执行的动作,本实施例中相关内容的解释可以参考上文,此处不再赘述资源服务器9可以包括:存储器91、通信接口92、处理器93和系统总线94。通信接口92和处理器93通过系统总线94连接。
存储器91用于存储计算机执行指令,当资源服务器9运行时,处理器93执行存储器91存储的计算机执行指令,以使资源服务器9执行上述任一实施例中资源服务器的动作。具体的,资源服务器所执行的动作可以参见上文中的相关描述,此处不再赘述。
本实施例还提供一种存储介质,该存储介质可以包括存储器91。
在具体实现过程中,上述任一实施例中资源服务器所执行的各步骤均可以通过硬件形式的处理器93执行存储器91中存储的软件形式的计算机执行指令实现。为避免重复,此处不再赘述。由于本发明实施例中的资源服务器9可以用于执行上述方法流程,因此,其所能获得的技术效果也可参考上述方法实施例,本发明实施例在此不再赘述。
上文中的任一存储器(例如存储器51、存储器71或存储器91)可以包括易失性存储器(volatile memory),例如RAM(random-access memory,随机存取存储器);也可以包括非易失性存储器(non-volatile memory),例如ROM(read-only memory,只读存储器),快闪存储器(flash memory),HDD(hard disk drive,硬盘)或SSD(solid-state drive,固态硬盘);还可以包括上述种类的存储器的组合。
上文中的任一处理器(例如存储器52、存储器72或存储器92)可以是一个处理器,也可以是多个处理元件的统称。例如,处理器可以为CPU(central processing unit,中央处理器);也可以为其他通用处理器、DSP(digital signal processing,数字信号处理器)、ASIC(application specific integrated circuit,专用集成电路)、FPGA(field-programmable gate array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等;还可以为专用处理器,该专用处理器可以包括基带处理芯片、射频处理芯片等中的至少一个。进一步地,该专用处理器还可以包括具有该处理器所在的设备中其他专用处理功能的芯片。
上文中的任一通信接口(例如通信接口53、通信接口73或通信接口93)具体可以是收发器。该收发器可以为无线收发器。例如,无线收发器可以是天线等。
上文中的任一处理器通过该处理器所属的设备中的通信接口(例如处理器52与通信接口53等)与其他设备进行通信。上文所提供的系统总线可以包括数据总线、电源总线、控制总线和信号状态总线等。本实施例中为了清楚说明,将各种总线都示意为系统总线。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (18)
1.一种内容计费漏洞的测试方法,其特征在于,包括:
拨测终端经被测网络向代理服务器发送访问请求消息;其中,所述访问请求消息中携带预定格式的请求报文,用于请求待访问内容;所述待访问内容是用于进行内容计费漏洞测试的特定资源;所述预定格式是待测计费漏洞的任一个测试用例所设定的格式;所述被测网络中包含计费设备;
所述拨测终端接收所述代理服务器经所述被测网络发送的访问响应消息;其中,所述访问响应消息中包含所述待访问内容;
所述拨测终端获取上述交互过程中所述计费设备的计费信息,并根据所述计费信息确定所述计费设备是否存在所述待测计费漏洞。
2.根据权利要求1所述的方法,其特征在于,所述拨测终端获取上述交互过程中所述计费设备的计费信息,包括:
所述拨测终端在确定所述访问响应消息与预设访问响应消息一致的情况下,获取上述交互过程中所述计费设备的计费信息。
3.根据权利要求1或2所述的方法,其特征在于,
若所述被测网络的接入点是WAP类型的接入点,则所述测试用例包括:通用机制缺陷类测试用例或配置漏洞类测试用例;
若所述被测网络的接入点是NET类型的接入点,则所述测试用例包括配置漏洞类测试用例。
4.根据权利要求3所述的方法,其特征在于,若所述测试用例是所述通用机制缺陷类测试用例,则所述请求报文具有以下特征中的任一种:
所述请求报文包含两个Host字段,且所述两个Host字段的域名不一致;
所述请求报文包含两个X-Online-Host字段,且所述两个X-Online-Host字段的域名不一致;
所述请求报文中的URL的域名与Host字段的域名不一致;
所述请求报文中的URL的域名与X-Online-Host字段的域名不一致;
所述请求报文Host字段的域名与X-Online-Host字段的域名不一致;
所述请求报文采用未指定协议名称的URL;
所述请求报文采用两个Get语句且所述两个Get语句中的URL不一致;
所述请求报文采用Content-Type字段内容为彩信标识且URL与Host字段的域名不一致;
所述请求报文中采用不规范字段结束符;
所述请求报文中的URL的路径名称中携带免费域名关键字;
所述请求报文中包含两个HTTP Header,且所述两个Header中的请求URL域名不一致;
所述请求报文中包含的IP五元组与其他请求报文中包含的IP五元组相同,且所述请求报文与所述其他请求报文指向不同的站点。
5.根据权利要求3所述的方法,其特征在于,所述测试用例是所述配置漏洞类测试用例;
若所述被测网络的接入点是NET类型的接入点,则所述请求报文的特征包括:所述请求报文中的目的IP地址与域名指向不一致;或者,
若所述被测网络的接入点是WAP类型的接入点,则所述请求报文的特征包括:所述请求报文中的请求站点的域名具有免费域名关键字的前缀。
6.根据权利要求5所述的方法,其特征在于,所述请求报文中的URL的路径名称中携带免费域名关键字;在所述拨测终端经被测网络向代理服务器发送访问请求消息之前,所述方法还包括:
所述拨测终端向资源服务器发送资源准备请求消息;其中,所述资源准备请求消息中包含所述请求报文中需要使用的用户提供的免费内容计费规则URL列表中的首个URL,以指示所述资源服务器建立特定资源路径;所述特定资源路径满足所述请求报文中的URL中的路径对于所述免费域名关键字的要求。
7.一种内容计费漏洞的测试方法,其特征在于,包括:
代理服务器接收拨测终端经计费设备发送的访问请求消息;所述访问请求消息中包含携带预定格式的请求报文,用于请求待访问内容;所述待访问内容是用于进行内容计费漏洞测试的特定资源;所述预定格式是待测计费漏洞的任一个测试用例所设定的格式;所述被测网络中包含计费设备;
所述代理服务器经所述被测网络向所述拨测终端发送访问响应消息,其中,所述访问响应消息中包含所述待访问内容;所述访问响应消息用于使所述拨测终端在接收到所述访问响应消息之后,获取上述交互过程中所述计费设备的计费信息,并根据所述计费信息确定所述计费设备是否存在所述待测计费漏洞。
8.根据权利要求7所述的方法,其特征在于,在所述代理服务器接收拨测终端经计费设备发送的访问请求消息之后,所述方法还包括:
所述代理服务器根据所述URL域名中的主机名,对所述请求报文进行修正,并利用修正后的请求报文获取所述访问响应消息。
9.一种内容计费漏洞的测试方法,其特征在于,包括:
资源服务器接收拨测终端发送的资源准备请求消息;其中,所述资源准备请求消息中包含请求报文中需要使用的用户提供的免费内容计费规则URL列表中的首个URL;
所述资源服务器根据所述资源准备请求消息,建立特定资源路径;所述特定资源路径满足所述请求报文中的URL中的路径对于所述免费域名关键字的要求;
所述资源服务器接收代理服务器转发的来自所述拨测终端的访问请求消息;其中,所述访问请求消息中携带预定格式的所述请求报文,用于请求待访问内容;所述待访问内容是用于进行内容计费漏洞测试的特定资源;所述预定格式是待测计费漏洞的任一个测试用例所设定的格式;所述被测网络中包含计费设备;
所述资源服务器根据所述访问请求消息和所述特定资源路径,获取所述待访问内容;
所述资源服务器经所述代理服务器和所述被测网络向所述拨测终端发送访问响应消息;其中,所述访问响应消息中包含所述待访问内容,用于指示所述拨测终端获取上述从拨测终端发送所述访问请求消息至接收到所述访问响应消息的过程中,所述计费设备的计费信息,并根据所述计费信息确定所述计费设备是否存在所述待测计费漏洞。
10.一种拨测终端,其特征在于,包括:
发送单元,用于经被测网络向代理服务器发送访问请求消息;其中,所述访问请求消息中携带预定格式的请求报文,用于请求待访问内容;所述待访问内容是用于进行内容计费漏洞测试的特定资源;所述预定格式是待测计费漏洞的任一个测试用例所设定的格式;所述被测网络中包含计费设备;
接收单元,用于接收所述代理服务器经所述被测网络发送的访问响应消息;其中,所述访问响应消息中包含所述待访问内容;
获取单元,用于获取上述交互过程中所述计费设备的计费信息;
判断单元,用于根据所述计费信息确定所述计费设备是否存在所述待测计费漏洞。
11.根据权利要求10所述的拨测终端,其特征在于,
所述获取单元具体用于:在确定所述访问响应消息与预设访问响应消息一致的情况下,获取上述交互过程中所述计费设备的计费信息。
12.根据权利要求10或11所述的拨测终端,其特征在于,
若所述被测网络的接入点是WAP类型的接入点,则所述测试用例包括:通用机制缺陷类测试用例或配置漏洞类测试用例;
若所述被测网络的接入点是NET类型的接入点,则所述测试用例包括配置漏洞类测试用例。
13.根据权利要求12所述的拨测终端,其特征在于,若所述测试用例是所述通用机制缺陷类测试用例,则所述请求报文具有以下特征中的任一种:
所述请求报文包含两个Host字段,且所述两个Host字段的域名不一致;
所述请求报文包含两个X-Online-Host字段,且所述两个X-Online-Host字段的域名不一致;
所述请求报文中的URL的域名与Host字段的域名不一致;
所述请求报文中的URL的域名与X-Online-Host字段的域名不一致;
所述请求报文Host字段的域名与X-Online-Host字段的域名不一致;
所述请求报文采用未指定协议名称的URL;
所述请求报文采用两个Get语句且所述两个Get语句中的URL不一致;
所述请求报文采用Content-Type字段内容为彩信标识且URL与Host字段的域名不一致;
所述请求报文中采用不规范字段结束符;
所述请求报文中的URL的路径名称中携带免费域名关键字;
所述请求报文中包含两个HTTP Header,且所述两个Header中的请求URL域名不一致;
所述请求报文中包含的IP五元组与其他请求报文中包含的IP五元组相同,且所述请求报文与所述其他请求报文指向不同的站点。
14.根据权利要求12所述的拨测终端,其特征在于,所述测试用例是所述配置漏洞类测试用例;
若所述被测网络的接入点是NET类型的接入点,则所述请求报文的特征包括:所述请求报文中的目的IP地址与域名指向不一致;或者,
若所述被测网络的接入点是WAP类型的接入点,则所述请求报文的特征包括:所述请求报文中的请求站点的域名具有免费域名关键字的前缀。
15.根据权利要求14所述的拨测终端,其特征在于,所述请求报文中的URL的路径名称中携带免费域名关键字;
所述发送单元还用于,向代理服务器发送资源准备请求消息;其中,所述资源准备请求消息中包含所述请求报文中需要使用的用户提供的免费内容计费规则URL列表中的首个URL,以指示所述代理服务器建立特定资源路径;所述特定资源路径满足所述请求报文中的URL中的路径对于所述免费域名的要求。
16.一种代理服务器,其特征在于,包括:
接收单元,用于接收拨测终端经计费设备发送的访问请求消息;所述访问请求消息中包含携带预定格式的请求报文,用于请求待访问内容;所述待访问内容是用于进行内容计费漏洞测试的特定资源;所述预定格式是待测计费漏洞的任一个测试用例所设定的格式;所述被测网络中包含计费设备;
发送单元,用于经所述被测网络向所述拨测终端发送访问响应消息,其中,所述访问响应消息中包含所述待访问内容;所述访问响应消息用于使所述拨测终端在接收到所述访问响应消息之后,获取上述交互过程中所述计费设备的计费信息,并根据所述计费信息确定所述计费设备是否存在所述待测计费漏洞。
17.根据权利要求16所述的代理服务器,其特征在于,所述代理服务器还包括:
修正单元,用于根据所述URL域名中的主机名,对所述请求报文进行修正;
获取单元,用于利用修正后的请求报文获取所述访问响应消息。
18.一种资源服务器,其特征在于,包括:
接收单元,用于接收拨测终端发送的资源准备请求消息;其中,所述资源准备请求消息中包含请求报文中需要使用的用户提供的免费内容计费规则URL列表中的首个URL;
建立单元,用于根据所述资源准备请求消息,建立特定资源路径;所述特定资源路径满足所述请求报文中的URL中的路径对于所述免费域名关键字的要求;
所述接收单元还用于,接收代理服务器转发的来自所述拨测终端的访问请求消息;其中,所述访问请求消息中携带预定格式的所述请求报文,用于请求待访问内容;所述待访问内容是用于进行内容计费漏洞测试的特定资源;所述预定格式是待测计费漏洞的任一个测试用例所设定的格式;所述被测网络中包含计费设备;
获取单元,用于根据所述访问请求消息和所述特定资源路径,获取所述待访问内容;
发送单元,用于经所述代理服务器和所述被测网络向所述拨测终端发送访问响应消息;其中,所述访问响应消息中包含所述待访问内容,用于指示所述拨测终端获取上述从拨测终端发送所述访问请求消息至接收到所述访问响应消息的过程中,所述计费设备的计费信息,并根据所述计费信息确定所述计费设备是否存在所述待测计费漏洞。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610877825.0A CN106412975B (zh) | 2016-09-30 | 2016-09-30 | 一种内容计费漏洞的测试方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610877825.0A CN106412975B (zh) | 2016-09-30 | 2016-09-30 | 一种内容计费漏洞的测试方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106412975A true CN106412975A (zh) | 2017-02-15 |
| CN106412975B CN106412975B (zh) | 2019-11-08 |
Family
ID=59228122
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610877825.0A Active CN106412975B (zh) | 2016-09-30 | 2016-09-30 | 一种内容计费漏洞的测试方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106412975B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108347443A (zh) * | 2018-02-11 | 2018-07-31 | 中国联合网络通信集团有限公司 | 恶意免流量服务器的发现方法和系统 |
| CN108400978A (zh) * | 2018-02-07 | 2018-08-14 | 深圳壹账通智能科技有限公司 | 漏洞检测方法、装置、计算机设备和存储介质 |
| CN108667770A (zh) * | 2017-03-29 | 2018-10-16 | 腾讯科技(深圳)有限公司 | 一种网站的漏洞测试方法、服务器及系统 |
| CN109359049A (zh) * | 2018-11-12 | 2019-02-19 | 郑州云海信息技术有限公司 | 一种测试用例的执行方法及系统 |
| CN109996200A (zh) * | 2017-12-31 | 2019-07-09 | 中国移动通信集团四川有限公司 | 防止流量欺诈的方法、装置、设备及介质 |
| CN107809752B (zh) * | 2017-10-16 | 2020-08-21 | 南京网元通信技术有限公司 | 一种基于软件仿真的移动网流量欺诈验证方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101242286A (zh) * | 2007-02-06 | 2008-08-13 | 信息产业部通信计量中心 | 数据通信网计费准确性检测方法 |
| EP2159960A1 (en) * | 2007-08-08 | 2010-03-03 | Huawei Technologies Co., Ltd. | Billing testing method and billing device |
| CN102340756A (zh) * | 2010-07-21 | 2012-02-01 | 中国移动通信集团福建有限公司 | 一种计费测试方法及计费测试装置 |
| CN103024712A (zh) * | 2012-12-19 | 2013-04-03 | 华为技术有限公司 | 处理回呼业务的的方法和装置 |
| CN105827593A (zh) * | 2016-03-08 | 2016-08-03 | 中国联合网络通信集团有限公司 | 一种免流量欺诈用户的识别方法和识别系统 |
-
2016
- 2016-09-30 CN CN201610877825.0A patent/CN106412975B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101242286A (zh) * | 2007-02-06 | 2008-08-13 | 信息产业部通信计量中心 | 数据通信网计费准确性检测方法 |
| EP2159960A1 (en) * | 2007-08-08 | 2010-03-03 | Huawei Technologies Co., Ltd. | Billing testing method and billing device |
| CN102340756A (zh) * | 2010-07-21 | 2012-02-01 | 中国移动通信集团福建有限公司 | 一种计费测试方法及计费测试装置 |
| CN103024712A (zh) * | 2012-12-19 | 2013-04-03 | 华为技术有限公司 | 处理回呼业务的的方法和装置 |
| CN105827593A (zh) * | 2016-03-08 | 2016-08-03 | 中国联合网络通信集团有限公司 | 一种免流量欺诈用户的识别方法和识别系统 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108667770A (zh) * | 2017-03-29 | 2018-10-16 | 腾讯科技(深圳)有限公司 | 一种网站的漏洞测试方法、服务器及系统 |
| CN108667770B (zh) * | 2017-03-29 | 2020-12-18 | 腾讯科技(深圳)有限公司 | 一种网站的漏洞测试方法、服务器及系统 |
| CN107809752B (zh) * | 2017-10-16 | 2020-08-21 | 南京网元通信技术有限公司 | 一种基于软件仿真的移动网流量欺诈验证方法 |
| CN109996200A (zh) * | 2017-12-31 | 2019-07-09 | 中国移动通信集团四川有限公司 | 防止流量欺诈的方法、装置、设备及介质 |
| CN108400978A (zh) * | 2018-02-07 | 2018-08-14 | 深圳壹账通智能科技有限公司 | 漏洞检测方法、装置、计算机设备和存储介质 |
| CN108400978B (zh) * | 2018-02-07 | 2021-08-06 | 深圳壹账通智能科技有限公司 | 漏洞检测方法、装置、计算机设备和存储介质 |
| CN108347443A (zh) * | 2018-02-11 | 2018-07-31 | 中国联合网络通信集团有限公司 | 恶意免流量服务器的发现方法和系统 |
| CN108347443B (zh) * | 2018-02-11 | 2021-02-02 | 中国联合网络通信集团有限公司 | 恶意免流量服务器的发现方法和系统 |
| CN109359049A (zh) * | 2018-11-12 | 2019-02-19 | 郑州云海信息技术有限公司 | 一种测试用例的执行方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106412975B (zh) | 2019-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106412975A (zh) | 一种内容计费漏洞的测试方法和装置 | |
| CN105099811B (zh) | 一种接口测试方法和装置 | |
| CN103716326B (zh) | 一种资源访问方法及用户资源网关 | |
| CN109039987A (zh) | 一种用户账户登录方法、装置、电子设备和存储介质 | |
| CN107015996A (zh) | 一种资源访问方法、装置及系统 | |
| CN102752300B (zh) | 动态防盗链系统和动态防盗链方法 | |
| CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
| US20040103078A1 (en) | Web server hit multiplier and redirector | |
| CN107689951A (zh) | 网页数据爬取方法、装置、用户终端及可读存储介质 | |
| CN106656666A (zh) | 一种获取网页首屏时间的方法及装置 | |
| CN109241733A (zh) | 基于Web访问日志的爬虫行为识别方法及装置 | |
| CN108696481A (zh) | 漏洞检测方法和装置 | |
| CN106878108A (zh) | 网络流量回放测试方法及装置 | |
| CN109683997B (zh) | 通过沙箱访问应用程序接口的方法、沙箱及沙箱设备 | |
| CN107786992A (zh) | 一种检测移动通信网络质量的方法和装置 | |
| CN109802919A (zh) | 一种web网页访问拦截方法及装置 | |
| CN108256322A (zh) | 安全测试方法、装置、计算机设备和存储介质 | |
| CN102664872A (zh) | 用于检测和防止对计算机网络中服务器攻击的系统和方法 | |
| CN102946396B (zh) | 用户代理装置、宿主网站服务器和用户认证方法 | |
| CN112580730A (zh) | 一种终端类型的识别方法及装置 | |
| CN113742250B (zh) | 接口自动测试方法及装置 | |
| CN106713242B (zh) | 数据请求的处理方法及处理装置 | |
| CN104348815B (zh) | 一种对验证码进行校验的方法及装置 | |
| CN107094153A (zh) | 终端访问网站的方法及系统、终端 | |
| CN104462392B (zh) | 分享回流量的统计方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |