CN107154930A - 一种测试漏洞的方法和系统 - Google Patents
一种测试漏洞的方法和系统 Download PDFInfo
- Publication number
- CN107154930A CN107154930A CN201710206826.7A CN201710206826A CN107154930A CN 107154930 A CN107154930 A CN 107154930A CN 201710206826 A CN201710206826 A CN 201710206826A CN 107154930 A CN107154930 A CN 107154930A
- Authority
- CN
- China
- Prior art keywords
- request
- user
- money
- user information
- tested server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012360 testing method Methods 0.000 title claims abstract description 93
- 238000000034 method Methods 0.000 title claims abstract description 28
- 230000004044 response Effects 0.000 claims description 26
- 230000000694 effects Effects 0.000 abstract description 6
- 229910052737 gold Inorganic materials 0.000 description 14
- 230000004048 modification Effects 0.000 description 11
- 238000012986 modification Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 10
- 238000004590 computer program Methods 0.000 description 7
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 description 5
- 239000010931 gold Substances 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 241000208340 Araliaceae Species 0.000 description 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 1
- 235000003140 Panax quinquefolius Nutrition 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 235000008434 ginseng Nutrition 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供了一种测试漏洞的方法和系统,用于实现测试被测试服务器漏洞的技术效果。所述方法包括:通过被测试服务器向测试客户端设备发送第一用户信息,测试客户端设备将第一用户信息修改为第二用户信息,并基于第二用户信息向被测试服务器发送请求,以使被测试服务器接收请求;第二用户信息对应的权限高于和/或多于第一用户信息对应的权限,或者第二用户信息对应的金额高于第一用户信息对应的金额;判断被测试服务器是否按照响应与第二用户信息对应的请求的方式响应请求;当测试服务器按照响应与第二用户信息对应的请求的方式响应请求时,确定被测试服务器存在漏洞。
Description
技术领域
本发明涉及计算机领域,尤其涉及一种测试漏洞的方法和系统。
背景技术
随着网络直播的迅速发展和普及,网络直播开始逐渐成为黑客攻击的对象。为了获取经济利益,黑客往往会对涉及金钱交易漏洞进行攻击,例如充值、赠送虚拟礼物和用户等级等。由于客户端能够通过安全软件对黑客攻击进行防御拦截,所以一些黑客绕过安全软件监测与服务器进行通讯,攻击服务器,导致网络直播平台受到损失。
可见,为了防御服务器遭到攻击,就需要对服务器漏洞进行测试。
发明内容
本发明实施例提供了一种测试漏洞的方法和系统,用于实现测试被测试服务器漏洞的技术效果。
第一方面,本发明提供了一种测试漏洞的方法,包括:
通过被测试服务器向一测试客户端设备发送第一用户信息,所述测试客户端设备将所述第一用户信息修改为第二用户信息,并基于所述第二用户信息向所述被测试服务器发送请求,以使所述被测试服务器接收所述请求;所述第二用户信息对应的权限高于和/或多于所述第一用户信息对应的权限,或者所述第二用户信息对应的金额高于所述第一用户信息对应的金额;
判断所述被测试服务器是否按照响应与所述第二用户信息对应的请求的方式响应所述请求;
当所述测试服务器按照响应与所述第二用户信息对应的请求的方式响应所述请求时,确定所述被测试服务器存在漏洞。
可选的,所述测试客户端设备将所述第一用户信息修改为第二用户信息具体包括将所述第一用户信息包括的第一用户等级修改为高于所述第一用户等级的第二用户等级,以获得所述第二用户信息,所述第二用户等级对应的权限高于和/或多于所述第一用户等级对应的权限,所述请求具体为第一请求,所述第一请求为以所述第二用户等级的权限才能够被响应的请求,判断所述被测试服务器是否按照响应与所述第二用户信息对应的请求的方式响应所述请求,包括:
判断所述被测试服务器是否按照所述第二用户等级具有的权限响应所述第一请求;
当所述被测试服务器按照所述第二用户等级具有的权限响应所述第一请求时,表示所述被测试服务器按照响应与所述第二用户信息对应的请求的方式响应所述请求。
可选的,所述测试客户端设备将所述第一用户信息修改为第二用户信息具体包括将所述第一用户信息包括的第一金额参数修改为高于所述第一金额参数的第二金额参数,以获得所述第二用户信息,所述第二金额参数对应的金额高于所述第一金额参数对应的金额,所述请求具体为第二请求,所述第二请求为按照所述第二金额参数进行交易的请求,判断所述被测试服务器是否按照响应与所述第二用户信息对应的请求的方式响应所述请求,包括:
判断所述被测试服务器是否以按照所述第二金额参数进行交易的方式响应所述第二请求;
当所述被测试服务器以按照所述第二金额参数进行交易的方式响应所述第二请求时,表示所述被测试服务器按照响应与所述第二用户信息对应的请求的方式响应所述请求。
可选的,所述测试客户端设备将所述第一用户信息修改为第二用户信息具体包括将所述第一用户信息包括的第一交易类型修改为第二交易类型,以获得所述第二用户信息,所述第二交易类型的单位交易金额高于所述第一交易类型的单位交易金额,所述请求具体为第三请求,所述第三请求为按照所述第二交易类型进行交易的请求,判断所述被测试服务器是否按照响应与所述第二用户信息对应的请求的方式响应所述请求,包括:
判断所述被测试服务器是否以按照所述第二交易类型进行交易的方式响应所述第三请求;
当所述被测试服务器以按照所述第二交易类型进行交易的方式响应所述第三请求时,表示所述被测试服务器按照响应与所述第二用户信息对应的请求的方式响应所述请求。
可选的,所述用户等级包括用户类型和/或级别,所述金额参数为账户余额和/或虚拟礼物数量,所述交易类型包括虚拟礼物类型。
第二方面,本发明提供了一种测试漏洞的系统,包括:
发送模块,用于通过被测试服务器向一测试客户端设备发送第一用户信息,所述测试客户端设备将所述第一用户信息修改为第二用户信息,并基于所述第二用户信息向所述被测试服务器发送请求,以使所述被测试服务器接收所述请求;所述第二用户信息对应的权限高于和/或多于所述第一用户信息对应的权限,或者所述第二用户信息对应的金额高于所述第一用户信息对应的金额;
判断模块,用于判断所述被测试服务器是否按照响应与所述第二用户信息对应的请求的方式响应所述请求;
确定模块,用于当所述测试服务器按照响应与所述第二用户信息对应的请求的方式响应所述请求时,确定所述被测试服务器存在漏洞。
可选的,所述测试客户端设备将所述第一用户信息修改为第二用户信息具体包括将所述第一用户信息包括的第一用户等级修改为高于所述第一用户等级的第二用户等级,以获得所述第二用户信息,所述第二用户等级对应的权限高于和/或多于所述第一用户等级对应的权限,所述请求具体为第一请求,所述第一请求为以所述第二用户等级的权限才能够被响应的请求,所述判断模块用于判断所述被测试服务器是否按照所述第二用户等级具有的权限响应所述第一请求;当所述被测试服务器按照所述第二用户等级具有的权限响应所述第一请求时,表示所述被测试服务器按照响应与所述第二用户信息对应的请求的方式响应所述请求。
可选的,所述测试客户端设备将所述第一用户信息修改为第二用户信息具体包括将所述第一用户信息包括的第一金额参数修改为高于所述第一金额参数的第二金额参数,以获得所述第二用户信息,所述第二金额参数对应的金额高于所述第一金额参数对应的金额,所述请求具体为第二请求,所述第二请求为按照所述第二金额参数进行交易的请求,所述判断模块用于判断所述被测试服务器是否以按照所述第二金额参数进行交易的方式响应所述第二请求;当所述被测试服务器以按照所述第二金额参数进行交易的方式响应所述第二请求时,表示所述被测试服务器按照响应与所述第二用户信息对应的请求的方式响应所述请求。
可选的,所述测试客户端设备将所述第一用户信息修改为第二用户信息具体包括将所述第一用户信息包括的第一交易类型修改为第二交易类型,以获得所述第二用户信息,所述第二交易类型的单位交易金额高于所述第一交易类型的单位交易金额,所述请求具体为第三请求,所述第三请求为按照所述第二交易类型进行交易的请求,所述判断模块用于判断所述被测试服务器是否以按照所述第二交易类型进行交易的方式响应所述第三请求;当所述被测试服务器以按照所述第二交易类型进行交易的方式响应所述第三请求时,表示所述被测试服务器按照响应与所述第二用户信息对应的请求的方式响应所述请求。
可选的,所述用户等级包括用户类型和/或级别,所述金额参数为账户余额和/或虚拟礼物数量,所述交易类型包括虚拟礼物类型。
本申请实施例中的上述一个或多个技术方案,至少具有如下一种或多种技术效果:
在本发明实施例的技术方案中,首先通过被测试服务器向一测试客户端设备发送第一用户信息,然后模拟黑客攻击服务器,将所述第一用户信息修改为权限更高更多或者对应金额更高的第二用户信息,然后基于所述第二用户信息向所述被测试服务器发送请求,那么当所述被测试服务器没有识别并防御虚假的所述第二用户信息,而是按照正常响应与所述第二用户信息对应的请求的方式响应所述请求时,则确定所述被测试服务器存在漏洞。所以,本发明实施例通过修改用户信息的方式,实现了测试出被测试服务器漏洞的技术效果。
附图说明
图1为本发明实施例中一种可能的测试漏洞的架构示意图;
图2为本发明实施例中的测试漏洞的方法流程图;
图3为本发明实施例中的测试漏洞的系统示意图。
具体实施方式
本发明实施例提供了一种测试漏洞的方法和系统,用于实现测试被测试服务器漏洞的技术效果。
为了解决上述技术问题,本发明提供的技术方案总体思路如下:
在本发明实施例的技术方案中,首先通过被测试服务器向一测试客户端设备发送第一用户信息,然后模拟黑客攻击服务器,将所述第一用户信息修改为权限更高更多或者对应金额更高的第二用户信息,然后基于所述第二用户信息向所述被测试服务器发送请求,那么当所述被测试服务器没有识别并防御虚假的所述第二用户信息,而是按照正常响应与所述第二用户信息对应的请求的方式响应所述请求时,则确定所述被测试服务器存在漏洞。所以,本发明实施例通过修改用户信息的方式,实现了测试出被测试服务器漏洞的技术效果。
下面通过附图以及具体实施例对本发明技术方案做详细的说明,应当理解本申请实施例以及实施例中的具体特征是对本申请技术方案的详细的说明,而不是对本申请技术方案的限定,在不冲突的情况下,本申请实施例以及实施例中的技术特征可以相互组合。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
为了清楚地对本发明的测试漏洞的方法进行说明,首先对本发明实施例测试漏洞的架构进行介绍。请参考图1,为本发明实施例中一种可能的测试漏洞的架构示意图。如图1所示,测试漏洞的架构包括被测试服务器、测试客户端设备和测试漏洞的系统。
测试对象为被测试服务器,本发明所指的漏洞为被测试服务器的漏洞。被测试服务器具体为网络直播平台服务器。测试客户端设备用于模拟实际客户端设备,实际客户端设备例如为手机、台式机或平板电脑等。在具体实现过程中,测试客户端设备可以为手机、台式机或平板电脑等真实的客户端设备,也可以为仿真客户端设备的仿真软件或仿真插件等,本发明不做具体限制。测试漏洞的系统可以运行在不同于被测试服务器的第三方设备中,也可以运行在被测试服务器中,本发明不做具体限制。
下面请参考图2,为本发明实施例中测试漏洞的方法流程图。该方法包括:
S101:通过被测试服务器向一测试客户端设备发送第一用户信息;
S102:判断所述被测试服务器是否按照响应与所述第二用户信息对应的请求的方式响应所述请求;
S103:当所述测试服务器按照响应与所述第二用户信息对应的请求的方式响应所述请求时,确定所述被测试服务器存在漏洞。
具体来讲,通常情况下,用户会在客户端设备上进行登录,进而客户端设备将以该用户的身份接入网络直播平台的服务器。网络直播平台的服务器会将该用户的真实用户信息发送到客户端设备。因此,在测试过程的S101中,测试服务器向测试客户端设备发送第一用户信息,本发明实施例中的第一用户信息为模拟网络直播平台服务器所发送的真实用户信息。
在测试客户端设备接收第一用户信息后,测试客户端设备将第一用户信息修改为第二用户信息。其中,第二用户信息对应的权限高于和/或多于第一用户信息对应的权限,例如第二用户信息对应的权限有15个,而第一用户信息对应的权限仅有10个,或者第二用户信息具有修改弹幕颜色的权限,而第一用户信息对应的权限则不具有修改弹幕颜色的权限。或者,第二用户信息对应的金额高于第一用户信息对应的金额,例如第二用户信息的账户余额有5000,而第一用户信息的账户余额仅有200。
然后,测试客户端设备基于第二用户信息向被测试服务器发送请求,由此模拟黑客向网络直播平台服务器发起的攻击。
在具体实现过程中,黑客攻击网络直播平台服务器的一种方式为直接获取经济利用或者通过较高权限间接获取经济利用,因此本发明实施例通过修改第一用户信息得到第二用户信息,并基于第二用户信息向被测试服务器发送请求来模拟黑客攻击服务器的该种攻击方式。
在S102中,判断被测试服务器是否按照正常响应第二用户信息对应的请求的方式响应该请求。具体来讲,响应与第二用户信息对应的请求的方式指的是在收到基于真实用户信息而发送的请求时服务器响应该请求的方式。例如,一个用户的用户信息对应有修改弹幕颜色的权限,那么基于该用户信息所发送的修改弹幕颜色的请求,由于该用户信息对应了修改弹幕颜色的权限,所以网络直播平台的服务器才会修改弹幕的颜色。由于此时第二用户信息模拟了虚假用户信息,被测试服务器应当不响应该请求,或者不按照正常方式的响应(例如反馈表示当前用户不具有对应权限的信息),所以,如果被测试服务器按照正常方式响应,则表示被测试服务器不能识别出该请求的异常,更加不能防御黑客的攻击,因此被测试服务器存在漏洞。
所以,在S103中,当被测试服务器按照响应与第二用户信息对应的请求的方式响应了该请求,则确定被测试服务器存在漏洞。
更具体而言,第一用户信息包括但不限于用户类型、级别、账户余额、虚拟礼物数量和虚拟礼物类型等多个参数。在具体实现过程中,网络直播平台的服务器按照客户端设备与服务器之间的通信协议向客户端设备发送的每个参数。具体判断被测试服务器是否按照正常方式响应了被测试客户端设备发送的请求,与具体选择的协议或参数有关。
具体来讲,在本发明实施例中,测试人员先获取网络直播平台服务器和客户端设备的所有通信协议,然后从所有协议中选择一个或多个协议用于测试。依据经验,黑客攻击往往涉及到网络直播平台收益的协议,因此选择涉及收益的协议为较佳选择。其中,涉及网络直播平台收益的协议指的是涉及到金钱交易或者权限的协议。例如,包含用户类型的协议、包含用户级别的协议、包含账户余额的协议、包含虚拟礼物数量的协议以及包含用户道具数量和道具列表的协议等。
下面具体以包括表示用户等级、金额参数和交易类型的协议为例,来介绍具体如何执行测试漏洞。
第一种实施方式:
在第一种实施方式中,具体选择的协议为包含表示用户等级的协议。其中,用户等级具体用户类型,或者级别,或者用户类型和级别等。不同的用户类型对应的权限不完全相同,不同的级别对应的权限也不完全相同。
举例来说,用户类型包括普通用户和VIP用户,VIP用户较普通用户具有更多的权限,且具有更高的权限。级别包括L1、L2、…、L80,L1至L80的用户具有的权限依次递增,L1的用户具有的权限最低,L80的用户具有的权限最高。
在第一种实施方式中,测试客户端设备在第一用户信息中搜索出包含第一用户等级的协议,然后将第一用户等级修改为第二用户等级,由此将第一用户信息修改为第二用户信息。其中,第二用户等级对应的权限高于和/或多于第一用户等级对应的权限。
以用户等级具体为用户类型为例来说明,VIP用户不仅具有普通用户的所有权限,进一步还具有修改弹幕颜色的权限。在第一用户信息中搜索出协议userinfo:“name@:xxx/vip@:0”。其中userinfo标示包含用户类型的协议,“name@:xxx/vip@:0”中的“name@:xxx”表示用户名为xxx,“vip@:0”表示用户类型为VIP用户(“vip@:0”中的“0”标示普通用户)。然后,将userinfo:“name@:xxx/vip@:0”中的“vip@:0”修改为“vip@:1”(“vip@:1”中的“1”标示VIP用户),进而将用户类型修改为VIP类型。
或者,以用户等级具体为级别为例来说明,L80具有购物高级礼物的权限。在第一用户信息中搜索出协议data:“gold@:10/level@:1”。其中data标示包含级别的协议,“gold@:10/level@:1”中的“level@:1”表示级别为L1(“level@:1”中的“1”标示级别L1)。然后,将data:“gold@:10/level@:1”中的level@:1修改为level@:80,进而将级别修改为L80。
在第一种实施方式中,测试客户端设备向被测试服务器发送的请求具体为第一请求,第一请求为以第二用户等级的权限才能够被响应的请求。具体来讲,用户在客户端设备中会执行操作,例如输入并发送弹幕,赠送虚拟礼物等,然后客户端设备会生成对应的请求,并将请求发送到网络直播平台的服务器。网络直播平台的服务器判断用户是否具有足够的权限,如有具有足够的权限,则响应请求,如果用户没有足够的权限,则不响应请求。因此,在本发明实施例中,测试客户端设备可以模拟出任意以第二用户等级的权限才能被响应的第一请求。
那么,在第一种实施方式中,S102则具体包括:
判断所述被测试服务器是否按照所述第二用户等级具有的权限响应所述第一请求。
具体来讲,由于第二用户等级为虚假用户等级,在安全情况下不应当被响应,或者不应当按照第二用户等级所具有的权限正常响应,因此,如果被测试服务器按照第二用户等级具有的权限响应了第一请求,则表示被测试服务器按照响应与第二用户信息对应的请求的方式响应请求,进而确定被测试服务器存在漏洞。
沿用上文中的第一个例子来说,对于xxx用户而言,其真实的第一用户类型为普通用户,并不是VIP用户,将用户类型修改为VIP用户,并向被测试服务器发送修改弹幕颜色的第一请求。那么,如果被测试服务器响应该第一请求修改了弹幕颜色,则表示被测试服务器不能识别出虚假的用户类型,因此确定被测试服务器存在漏洞。
沿用上文中的第二个例子来说,真实的级别为L1,并不是L80,将级别修改为L80,并向服务器发送购买高级虚拟礼物的第一请求。那么,如果被测试服务器响应该第一请求,购买了高级虚拟礼物,则表示被测试服务器不能识别出虚假的用户类型,因此确定被测试服务器存在漏洞。
第二种实施方式:
在第二种实施方式中,具体选择的协议为包含表示金额参数的协议。其中,金额参数具体可以为账户余额,或者虚拟礼物数量,或者账户余额和虚拟礼物数量等。账户余额越高对应的金额越高,虚拟礼物数量越多对应的金额越高。
在第二种实施方式中,测试客户端设备在第二用户信息中搜索出包含第一金额参数的协议,然后,将第一金额参数修改为第二金额参数,由此将第一用户信息修改为第二用户信息。其中,第二金额参数对应的金额高于第一金额参数对应的金额。
以金额参数具体为账户余额为例来说明。在第一用户信息中搜索出协议data:“gold@:10/level@:1”。其中data标示包含账户余额的协议,“gold@:10/level@:1”中的“gold@:10”表示账户余额为10(“gold@:10”中的“10”标示账户余额数量10)。然后,将data:“gold@:10/level@:1”中的“gold@:10”修改为“gold@:100000000”。
再以金额参数具体为虚拟礼物数量为例来说明。在第一用户信息中搜索出协议giftdata:“gifttype@:1/giftnum@:10”。其中“giftdata”标示包含虚拟礼物数量的协议,“gifttype@:1/giftnum@:10”中的“giftnum@:10”表示虚拟礼物数量为10(“giftnum@:10”中的“10”标示虚拟礼物数量10)。然后,将giftdata:“gifttype@:1/giftnum@:10”中的“giftnum@:10”修改为“giftnum@:100000000”。
在第二种实施方式中,测试客户端设备向被测试服务器发送的请求具体为第二请求,第二请求为按照第二金额参数进行交易的请求。具体来讲,用户在客户端设备中会执行交易操作,例如提取现金、购买物品或者赠送虚拟礼物等,然后客户端设备会生成对应的请求,并将请求发送到网络直播平台的服务器。网络直播平台的服务器判断请求交易的金额是否超过允许交易的上线(例如是否不超过账户余额或不超过虚拟礼物数量)。如果交易的金额不超过允许交易的上线,则响应请求进行交易,如果超过允许交易的上线,则不响应请求不进行交易。因此,在本发明实施例中,测试客户端设备模拟出按照第二金额参数进行交易的第二请求。
那么,在第二种实施方式中,S102则具体包括:
判断所述被测试服务器是否以按照所述第二金额参数进行交易的方式响应所述第二请求。
具体来讲,由于第二金额参数为虚假金额参数,在安全情况下不应当被响应,或者不应当执行交易,因此,如果被测试服务器允许并按照第二金额参数进行了交易,则表示被测试服务器按照响应与第二用户信息对应的请求的方式响应请求,进而确定被测试服务器存在漏洞。
沿用上文中的第一个例子来说,真实的账户余额仅有10,将账户余额修改为100000000,并向被测试服务器发送购买价值100000000的物品的第二请求。那么,如果被测试服务器响应了第二请求,购买了价值100000000的物品,则表示被测试服务器不能识别出虚假的账户余额,因此确定被测试服务器存在漏洞。
再沿用上文中的第二个例子来说,真实的虚拟礼物数量仅有10,将虚拟礼物数量修改为100000000,并向被测试服务器发送向主播赠送100000000个虚拟礼物的第二请求。那么,如果被测试服务器响应了第二请求,向主播赠送了100000000个虚拟礼物,则表示被测试服务器不能识别出虚假的虚拟礼物数量,因此确定被测试服务器存在漏洞。
第三种实施方式:
在第三种实施方式中,具体选择的协议为包含表示交易类型的协议。其中,交易类型具体例如虚拟礼物类型等。购买不同类型的虚拟礼物需要不同的金额,因此不同的虚拟礼物类型对应的金额不完全相同。
在第三种实施方式中,测试客户端设备在第二用户信息中搜索出包含第一交易类型的协议,然后,将第一交易类型修改为第二交易类型,由此将第一用户信息修改为第二用户信息。其中,第二交易类型对应的金额高于第一交易类型对应的金额。
以交易类型具体为虚拟礼物类型为例来说明。在第一用户信息中搜索出协议giftdata:“gifttype@:1/giftnum@:10”。其中giftdata表示包含虚拟礼物类型的协议,“gifttype@:1/giftnum@:10”中的“gifttype@:1”表示虚拟礼物类型为1(“gifttype@:1”中的“1”标示虚拟礼物类型1)。然后,将giftdata:“gifttype@:1/giftnum@:10”中的“gifttype@:1”修改为“gifttype@:10”。其中,类型为1的虚拟礼物对应的金额为0,类型为10的虚拟礼物对应的金额为1000。
在第三种实施方式中,测试客户端设备向被测试服务器发送的请求具体为第三请求,第三请求为按照第二交易类型进行交易的请求。具体来讲,用户在客户端设备中执行交易操作,然后客户端设备会生成对应的请求,并将请求发送到网络直播平台的服务器中。网络直播平台的服务器判断请求中交易类型是否与交易类型匹配,如有匹配则响应请求允许交易,如果不匹配则不响应请求不进行交易。因此,在本发明实施例中,测试客户端设备模拟出按照第二交易类型进行交易的第三请求。
那么,在第三种实施方式中,S102则具体包括:
判断所述被测试服务器是否以按照所述第二交易类型进行交易的方式响应所述第三请求。
具体来讲,由于第二交易类型为虚假交易类型,在安全情况下不应当被响应,或者不应当按照执行交易,因此,如果被测试服务器允许并按照第二交易类型进行交易,则表示被测试服务器按照响应与第二用户信息对应的请求的方式响应请求,进而确定被测试服务器存在漏洞。
沿用上文中的例子来说,真实的虚拟礼物类型为1,对应金额仅为0,将虚拟礼物类型修改为10,并向被测试服务器发送向主播赠送类型为10的虚拟礼物的第三请求。那么,如果被测试服务器响应第三请求,向主播赠送了对应金额为1000的虚拟礼物,则表示被测试服务器不能识别出虚假的虚拟礼物类型,因此确定被测试服务器存在漏洞。
基于与前述实施例中测试漏洞的方法同样的发明构思,本发明第二方面还提供一种测试漏洞的系统,如图3所示,包括:
发送模块101,用于通过被测试服务器向一测试客户端设备发送第一用户信息,所述测试客户端设备将所述第一用户信息修改为第二用户信息,并基于所述第二用户信息向所述被测试服务器发送请求,以使所述被测试服务器接收所述请求;所述第二用户信息对应的权限高于和/或多于所述第一用户信息对应的权限,或者所述第二用户信息对应的金额高于所述第一用户信息对应的金额;
判断模块102,用于判断所述被测试服务器是否按照响应与所述第二用户信息对应的请求的方式响应所述请求;
确定模块103,用于当所述测试服务器按照响应与所述第二用户信息对应的请求的方式响应所述请求时,确定所述被测试服务器存在漏洞。
可选的,所述测试客户端设备将所述第一用户信息修改为第二用户信息具体包括将所述第一用户信息包括的第一用户等级修改为高于所述第一用户等级的第二用户等级,以获得所述第二用户信息,所述第二用户等级对应的权限高于和/或多于所述第一用户等级对应的权限,所述请求具体为第一请求,所述第一请求为以所述第二用户等级的权限才能够被响应的请求,所述判断模块102用于判断所述被测试服务器是否按照所述第二用户等级具有的权限响应所述第一请求;当所述被测试服务器按照所述第二用户等级具有的权限响应所述第一请求时,表示所述被测试服务器按照响应与所述第二用户信息对应的请求的方式响应所述请求。
可选的,所述测试客户端设备将所述第一用户信息修改为第二用户信息具体包括将所述第一用户信息包括的第一金额参数修改为高于所述第一金额参数的第二金额参数,以获得所述第二用户信息,所述第二金额参数对应的金额高于所述第一金额参数对应的金额,所述请求具体为第二请求,所述第二请求为按照所述第二金额参数进行交易的请求,所述判断模块102用于判断所述被测试服务器是否以按照所述第二金额参数进行交易的方式响应所述第二请求;当所述被测试服务器以按照所述第二金额参数进行交易的方式响应所述第二请求时,表示所述被测试服务器按照响应与所述第二用户信息对应的请求的方式响应所述请求。
可选的,所述测试客户端设备将所述第一用户信息修改为第二用户信息具体包括将所述第一用户信息包括的第一交易类型修改为第二交易类型,以获得所述第二用户信息,所述第二交易类型的单位交易金额高于所述第一交易类型的单位交易金额,所述请求具体为第三请求,所述第三请求为按照所述第二交易类型进行交易的请求,所述判断模块102用于判断所述被测试服务器是否以按照所述第二交易类型进行交易的方式响应所述第三请求;当所述被测试服务器以按照所述第二交易类型进行交易的方式响应所述第三请求时,表示所述被测试服务器按照响应与所述第二用户信息对应的请求的方式响应所述请求。
可选的,所述用户等级包括用户类型和/或级别,所述金额参数为账户余额和/或虚拟礼物数量,所述交易类型包括虚拟礼物类型。
前述图1-图2实施例中的测试漏洞的方法的各种变化方式和具体实例同样适用于本实施例的测试漏洞的系统,通过前述对测试漏洞的方法的详细描述,本领域技术人员可以清楚的知道本实施例中测试漏洞的系统的实施方法,所以为了说明书的简洁,在此不再详述。
本申请实施例中的上述一个或多个技术方案,至少具有如下一种或多种技术效果:
在本发明实施例的技术方案中,首先通过被测试服务器向一测试客户端设备发送第一用户信息,然后模拟黑客攻击服务器,将所述第一用户信息修改为权限更高更多或者对应金额更高的第二用户信息,然后基于所述第二用户信息向所述被测试服务器发送请求,那么当所述被测试服务器没有识别并防御虚假的所述第二用户信息,而是按照正常响应与所述第二用户信息对应的请求的方式响应所述请求时,则确定所述被测试服务器存在漏洞。所以,本发明实施例通过修改用户信息的方式,实现了测试出被测试服务器漏洞的技术效果。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种测试漏洞的方法,其特征在于,包括:
通过被测试服务器向一测试客户端设备发送第一用户信息,所述测试客户端设备将所述第一用户信息修改为第二用户信息,并基于所述第二用户信息向所述被测试服务器发送请求,以使所述被测试服务器接收所述请求;所述第二用户信息对应的权限高于和/或多于所述第一用户信息对应的权限,或者所述第二用户信息对应的金额高于所述第一用户信息对应的金额;
判断所述被测试服务器是否按照响应与所述第二用户信息对应的请求的方式响应所述请求;
当所述测试服务器按照响应与所述第二用户信息对应的请求的方式响应所述请求时,确定所述被测试服务器存在漏洞。
2.如权利要求1所述的方法,其特征在于,所述测试客户端设备将所述第一用户信息修改为第二用户信息具体包括将所述第一用户信息包括的第一用户等级修改为高于所述第一用户等级的第二用户等级,以获得所述第二用户信息,所述第二用户等级对应的权限高于和/或多于所述第一用户等级对应的权限,所述请求具体为第一请求,所述第一请求为以所述第二用户等级的权限才能够被响应的请求,判断所述被测试服务器是否按照响应与所述第二用户信息对应的请求的方式响应所述请求,包括:
判断所述被测试服务器是否按照所述第二用户等级具有的权限响应所述第一请求;
当所述被测试服务器按照所述第二用户等级具有的权限响应所述第一请求时,表示所述被测试服务器按照响应与所述第二用户信息对应的请求的方式响应所述请求。
3.如权利要求2所述的方法,其特征在于,所述测试客户端设备将所述第一用户信息修改为第二用户信息具体包括将所述第一用户信息包括的第一金额参数修改为高于所述第一金额参数的第二金额参数,以获得所述第二用户信息,所述第二金额参数对应的金额高于所述第一金额参数对应的金额,所述请求具体为第二请求,所述第二请求为按照所述第二金额参数进行交易的请求,判断所述被测试服务器是否按照响应与所述第二用户信息对应的请求的方式响应所述请求,包括:
判断所述被测试服务器是否以按照所述第二金额参数进行交易的方式响应所述第二请求;
当所述被测试服务器以按照所述第二金额参数进行交易的方式响应所述第二请求时,表示所述被测试服务器按照响应与所述第二用户信息对应的请求的方式响应所述请求。
4.如权利要求3所述的方法,其特征在于,所述测试客户端设备将所述第一用户信息修改为第二用户信息具体包括将所述第一用户信息包括的第一交易类型修改为第二交易类型,以获得所述第二用户信息,所述第二交易类型的单位交易金额高于所述第一交易类型的单位交易金额,所述请求具体为第三请求,所述第三请求为按照所述第二交易类型进行交易的请求,判断所述被测试服务器是否按照响应与所述第二用户信息对应的请求的方式响应所述请求,包括:
判断所述被测试服务器是否以按照所述第二交易类型进行交易的方式响应所述第三请求;
当所述被测试服务器以按照所述第二交易类型进行交易的方式响应所述第三请求时,表示所述被测试服务器按照响应与所述第二用户信息对应的请求的方式响应所述请求。
5.如权利要求4所述的方法,其特征在于,所述用户等级包括用户类型和/或级别,所述金额参数为账户余额和/或虚拟礼物数量,所述交易类型包括虚拟礼物类型。
6.一种测试漏洞的系统,其特征在于,包括:
发送模块,用于通过被测试服务器向一测试客户端设备发送第一用户信息,所述测试客户端设备将所述第一用户信息修改为第二用户信息,并基于所述第二用户信息向所述被测试服务器发送请求,以使所述被测试服务器接收所述请求;所述第二用户信息对应的权限高于和/或多于所述第一用户信息对应的权限,或者所述第二用户信息对应的金额高于所述第一用户信息对应的金额;
判断模块,用于判断所述被测试服务器是否按照响应与所述第二用户信息对应的请求的方式响应所述请求;
确定模块,用于当所述测试服务器按照响应与所述第二用户信息对应的请求的方式响应所述请求时,确定所述被测试服务器存在漏洞。
7.如权利要求6所述的系统,其特征在于,所述测试客户端设备将所述第一用户信息修改为第二用户信息具体包括将所述第一用户信息包括的第一用户等级修改为高于所述第一用户等级的第二用户等级,以获得所述第二用户信息,所述第二用户等级对应的权限高于和/或多于所述第一用户等级对应的权限,所述请求具体为第一请求,所述第一请求为以所述第二用户等级的权限才能够被响应的请求,所述判断模块用于判断所述被测试服务器是否按照所述第二用户等级具有的权限响应所述第一请求;当所述被测试服务器按照所述第二用户等级具有的权限响应所述第一请求时,表示所述被测试服务器按照响应与所述第二用户信息对应的请求的方式响应所述请求。
8.如权利要求7所述的系统,其特征在于,所述测试客户端设备将所述第一用户信息修改为第二用户信息具体包括将所述第一用户信息包括的第一金额参数修改为高于所述第一金额参数的第二金额参数,以获得所述第二用户信息,所述第二金额参数对应的金额高于所述第一金额参数对应的金额,所述请求具体为第二请求,所述第二请求为按照所述第二金额参数进行交易的请求,所述判断模块用于判断所述被测试服务器是否以按照所述第二金额参数进行交易的方式响应所述第二请求;当所述被测试服务器以按照所述第二金额参数进行交易的方式响应所述第二请求时,表示所述被测试服务器按照响应与所述第二用户信息对应的请求的方式响应所述请求。
9.如权利要求8所述的系统,其特征在于,所述测试客户端设备将所述第一用户信息修改为第二用户信息具体包括将所述第一用户信息包括的第一交易类型修改为第二交易类型,以获得所述第二用户信息,所述第二交易类型的单位交易金额高于所述第一交易类型的单位交易金额,所述请求具体为第三请求,所述第三请求为按照所述第二交易类型进行交易的请求,所述判断模块用于判断所述被测试服务器是否以按照所述第二交易类型进行交易的方式响应所述第三请求;当所述被测试服务器以按照所述第二交易类型进行交易的方式响应所述第三请求时,表示所述被测试服务器按照响应与所述第二用户信息对应的请求的方式响应所述请求。
10.如权利要求9所述的系统,其特征在于,所述用户等级包括用户类型和/或级别,所述金额参数为账户余额和/或虚拟礼物数量,所述交易类型包括虚拟礼物类型。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710206826.7A CN107154930B (zh) | 2017-03-31 | 2017-03-31 | 一种测试漏洞的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710206826.7A CN107154930B (zh) | 2017-03-31 | 2017-03-31 | 一种测试漏洞的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107154930A true CN107154930A (zh) | 2017-09-12 |
| CN107154930B CN107154930B (zh) | 2020-10-16 |
Family
ID=59794082
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710206826.7A Active CN107154930B (zh) | 2017-03-31 | 2017-03-31 | 一种测试漏洞的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107154930B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109949159A (zh) * | 2019-03-15 | 2019-06-28 | 香港乐蜜有限公司 | 一种告警方法及相关设备 |
| CN110581835A (zh) * | 2018-06-11 | 2019-12-17 | 阿里巴巴集团控股有限公司 | 一种漏洞检测方法、装置及终端设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1889059A (zh) * | 2006-07-25 | 2007-01-03 | 华为技术有限公司 | 一种整型溢出漏洞自动化挖掘方法 |
| CN101557400A (zh) * | 2009-05-13 | 2009-10-14 | 厦门市吉比特网络技术有限公司 | 网络游戏反外挂的实现方法 |
| CN102158367A (zh) * | 2010-12-17 | 2011-08-17 | 中国科学技术大学苏州研究院 | 主动反外挂的网络游戏系统及网络游戏系统反外挂方法 |
| CN103530564A (zh) * | 2013-09-24 | 2014-01-22 | 国家电网公司 | 一种sql注入漏洞测试与验证方法及系统 |
| CN104253795A (zh) * | 2013-06-27 | 2014-12-31 | 腾讯科技(深圳)有限公司 | 防止在网络游戏中使用外挂的方法及装置 |
| CN104778414A (zh) * | 2015-05-06 | 2015-07-15 | 广州万方计算机科技有限公司 | 一种漏洞管理系统及方法 |
| CN105447126A (zh) * | 2015-11-17 | 2016-03-30 | 苏州蜗牛数字科技股份有限公司 | 一种游戏道具个性化推荐方法 |
| CN106326113A (zh) * | 2016-08-16 | 2017-01-11 | 腾讯科技(深圳)有限公司 | 一种游戏数据监控方法和装置 |
-
2017
- 2017-03-31 CN CN201710206826.7A patent/CN107154930B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1889059A (zh) * | 2006-07-25 | 2007-01-03 | 华为技术有限公司 | 一种整型溢出漏洞自动化挖掘方法 |
| CN101557400A (zh) * | 2009-05-13 | 2009-10-14 | 厦门市吉比特网络技术有限公司 | 网络游戏反外挂的实现方法 |
| CN102158367A (zh) * | 2010-12-17 | 2011-08-17 | 中国科学技术大学苏州研究院 | 主动反外挂的网络游戏系统及网络游戏系统反外挂方法 |
| CN104253795A (zh) * | 2013-06-27 | 2014-12-31 | 腾讯科技(深圳)有限公司 | 防止在网络游戏中使用外挂的方法及装置 |
| CN103530564A (zh) * | 2013-09-24 | 2014-01-22 | 国家电网公司 | 一种sql注入漏洞测试与验证方法及系统 |
| CN104778414A (zh) * | 2015-05-06 | 2015-07-15 | 广州万方计算机科技有限公司 | 一种漏洞管理系统及方法 |
| CN105447126A (zh) * | 2015-11-17 | 2016-03-30 | 苏州蜗牛数字科技股份有限公司 | 一种游戏道具个性化推荐方法 |
| CN106326113A (zh) * | 2016-08-16 | 2017-01-11 | 腾讯科技(深圳)有限公司 | 一种游戏数据监控方法和装置 |
Non-Patent Citations (2)
| Title |
|---|
| 何志国: "以弹幕网站经营模式分析"宅文化"经济价值开发", 《新闻研究导刊》 * |
| 江含雪: "传播学视域中的弹幕视频研究", 《硕士学位论文》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110581835A (zh) * | 2018-06-11 | 2019-12-17 | 阿里巴巴集团控股有限公司 | 一种漏洞检测方法、装置及终端设备 |
| CN110581835B (zh) * | 2018-06-11 | 2022-04-12 | 阿里巴巴集团控股有限公司 | 一种漏洞检测方法、装置及终端设备 |
| CN109949159A (zh) * | 2019-03-15 | 2019-06-28 | 香港乐蜜有限公司 | 一种告警方法及相关设备 |
| CN109949159B (zh) * | 2019-03-15 | 2023-04-25 | 卓米私人有限公司 | 一种告警方法及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107154930B (zh) | 2020-10-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105100042B (zh) | 用于对应用中的漏洞进行分布式发现的计算机系统 | |
| CN105723376B (zh) | 用于基于声誉信息验证用户的系统和方法 | |
| CN106797371B (zh) | 用于用户认证的方法和系统 | |
| EP3926920A1 (en) | Method and device for allocating augmented reality-based virtual objects | |
| CN108369615A (zh) | 动态更新captcha质询 | |
| CN106411950B (zh) | 基于区块链交易id的认证方法、装置及系统 | |
| CN110557403A (zh) | 基于区块链的资源分配方法、装置、存储介质及节点设备 | |
| Marforio et al. | Hardened setup of personalized security indicators to counter phishing attacks in mobile banking | |
| US20240108990A1 (en) | Fraud detection system | |
| JP2018050973A (ja) | 乱数生成システム、乱数生成装置、乱数生成方法及びプログラム | |
| CN107154930A (zh) | 一种测试漏洞的方法和系统 | |
| CN104092694B (zh) | 一种手机游戏的账号分配的方法及系统 | |
| CN104751364A (zh) | 一种经过安全认证的跨区域直销银行联盟交易方法及系统 | |
| CN107454041A (zh) | 防止服务器被攻击的方法及装置 | |
| Yasin et al. | Can serious gaming tactics bolster spear-phishing and phishing resilience?: Securing the human hacking in Information Security | |
| US20220147587A1 (en) | System and method for facilitating presentation modification of a user interface | |
| JP2004242816A (ja) | クイズ提供システム | |
| CN110266686A (zh) | 数据共享方法、装置、设备与计算机可读存储介质 | |
| CN106327225A (zh) | 一种互联网抽奖方法和系统 | |
| Bhaskar et al. | A Prelude to Cybersecurity Challenges in the Metaverse | |
| US20170206530A1 (en) | Method and system for call authentication and providing reliability | |
| Sasaki | Trial application of risk assessment method for metaverse | |
| Sudha et al. | Impact of Smartphone-Based Interactive Learning Modules on Cybersecurity Learning at the High-School Level | |
| Li et al. | How Interactions Influence Users' Security Perception of Virtual Reality Authentication? | |
| CN110062023A (zh) | 一种安全教育信息推送方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20231110 Address after: Room 606-609, Compound Office Complex Building, No. 757, Dongfeng East Road, Yuexiu District, Guangzhou, Guangdong Province, 510699 Patentee after: China Southern Power Grid Internet Service Co.,Ltd. Address before: 430000 East Lake Development Zone, Wuhan City, Hubei Province, No. 1 Software Park East Road 4.1 Phase B1 Building 11 Building Patentee before: WUHAN DOUYU NETWORK TECHNOLOGY Co.,Ltd. |