CN110069400A - 漏洞测试报告生成方法、装置、计算机设备和存储介质 - Google Patents
漏洞测试报告生成方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN110069400A CN110069400A CN201910200319.1A CN201910200319A CN110069400A CN 110069400 A CN110069400 A CN 110069400A CN 201910200319 A CN201910200319 A CN 201910200319A CN 110069400 A CN110069400 A CN 110069400A
- Authority
- CN
- China
- Prior art keywords
- test
- loophole
- sut
- story
- system under
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012360 testing method Methods 0.000 title claims abstract description 207
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000004458 analytical method Methods 0.000 claims abstract description 41
- 230000006870 function Effects 0.000 claims description 27
- 239000000284 extract Substances 0.000 claims description 21
- 238000012502 risk assessment Methods 0.000 claims description 13
- 125000000524 functional group Chemical group 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 4
- 238000011156 evaluation Methods 0.000 claims description 3
- 238000003709 image segmentation Methods 0.000 claims description 3
- 238000000926 separation method Methods 0.000 claims description 3
- 235000013399 edible fruits Nutrition 0.000 claims 1
- 238000001514 detection method Methods 0.000 abstract description 2
- 230000008569 process Effects 0.000 description 8
- 239000011159 matrix material Substances 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 241000208340 Araliaceae Species 0.000 description 2
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 2
- 235000003140 Panax quinquefolius Nutrition 0.000 description 2
- 235000008434 ginseng Nutrition 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 239000002699 waste material Substances 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000003086 colorant Substances 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000011017 operating method Methods 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
- G06F11/3692—Test management for test results analysis
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请涉及漏洞检测技术领域,尤其涉及一种漏洞测试报告生成方法、装置、计算机设备和存储介质,包括:获取被测系统和测试模板库,建立所述被测系统与所述测试模板库中测试模板的对应关系;获取用户故事与所述测试模板的数个差异点,抽取所有所述差异点,汇总后形成漏洞列表;发送所述漏洞列表至用于漏洞分析的服务器,接收所述用于漏洞分析的服务器的反馈信息后生成测试报告。本申请通过分析漏洞列表的方式,自动生成漏洞测试报告,节约了大量人力物力。
Description
技术领域
本申请涉及漏洞检测技术领域,尤其涉及一种漏洞测试报告生成方法、装置、计算机设备和存储介质。
背景技术
目前通常由测试人员人工撰写系统的测试报告:测试人员会预先在错误管理系统中记录应用的各个数据源的错误数据,每个错误数据包括错误等级、错误状态、发现错误的用户的标识等。当需要生成某个数据源的测试报告时,测试人员会在错误管理工具中输入该数据源的识别码,并触发检索操作,然后测试人员人工添加选项对系统产生的错误进行分类识别。
但是,采用人工撰写测试报告的过程操作繁琐、耗时较长,浪费人力资源,同时容易出错。
发明内容
基于此,有必要针对人工撰写测试报告的过程操作繁琐、耗时较长,浪费人力资源,同时容易出错的问题,提供一种漏洞测试报告生成方法、装置、计算机设备和存储介质。
一种漏洞测试报告生成方法,包括如下步骤:
获取被测系统和测试模板库,建立所述被测系统与所述测试模板库中测试模板的对应关系;
获取用户故事与所述测试模板的数个差异点,抽取所有所述差异点,汇总后形成漏洞列表;
发送所述漏洞列表至用于漏洞分析的服务器,接收所述用于漏洞分析的服务器的反馈信息后生成测试报告。
在其中一个可能的实施例中,所述获取被测系统和测试模板库,建立所述被测系统与所述测试模板库中测试模板的对应关系,包括:
获取各个系统运行的历史数据,根据所述系统运行的历史数据建立所述测试模板库;
获取所述被测系统的版本特征代码,根据所述版本特征代码,设置用于获取所述被测系统的实时图像的数个时间节点;
当所述时间节点到来时,截取将所述被测系统的实时图像,将所述实时图像进行文本描述,抽取所述文本描述中的关键字,根据所述关键字建立所述被测系统与所述测试模板库中测试模板的对应关系。
在其中一个可能的实施例中,所述获取用户故事与所述测试模板的数个差异点,抽取所有所述差异点,汇总后形成漏洞列表,包括:
获取用户故事,按照所述用户故事包含的业务和功能对所述用户故事进行分解后建立初始用户故事模型;
根据预设的问题完整性校验规则,对所述初始用户故事模型进行修正后得到最终用户故事模型;
抽取所述最终用户故事模型中的特征语句,获取所述特征语句在所述被测系统中的执行结果,将所述执行结果与所述测试模板中的预期结果进行比对后得到数个差异点,汇总所有所述差异点后形成漏洞列表。
在其中一个可能的实施例中,所述发送所述漏洞列表至用于漏洞分析的服务器,接收所述用于漏洞分析的服务器的反馈信息后生成测试报告,包括:
获取所述漏洞列表的特征编号,遍历各所述用于漏洞分析的服务器后得到存储有所述特征编号的服务器,发送所述漏洞列表至所述存储有特征编号的服务器;
接收所述存储有所述特征编号的服务器对所述漏洞列表进行内容分析的风险评估结果后生成所述测试报告。
在其中一个可能的实施例中,所述当所述时间节点到来时,截取将所述被测系统的实时图像,将所述实时图像进行文本描述,抽取所述文本描述中的关键字,根据所述关键字建立所述被测系统与所述测试模板库中测试模板的对应关系,包括:
当所述时间节点到来时,截取所述被测系统运行程序时产生的应用程序界面API图像;
将所述应用程序界面API图像分割成等大小的数个图像子块,获取每个所述图像子块所属的截屏类簇,抽取所述截屏类簇对应的类簇文本描述;
根据所述类簇文本描述,从所述图像子块中抽取出关键字,汇总不同所述应用程序界面API图像的关键字得到被测系统关键字串,从所述测试模板库中抽取出具有所述被测系统关键字串的测试模板,建立所述被测系统与所述具有所述被测系统关键字串的测试模板的对应关系。
在其中一个可能的实施例中,所述获取用户故事,按照所述用户故事包含的业务和功能对所述用户故事进行分解后建立初始用户故事模型,包括:
发送用户故事获取请求于客户端,接收所述客户端的反馈信息;
抽取所述反馈信息中的业务特征词和功能特征词,根据所述业务特征词和功能特征词,将所述反馈信息聚类成业务组和功能组;
分别获取所述业务组和所述功能组的需求参数,根据所述需求参数与所述被测系统的API接口的对应关系,建立所述初始用户故事模型。
在其中一个可能的实施例中,所述接收所述存储有所述特征编号的服务器对所述漏洞列表进行内容分析的风险评估结果后生成所述测试报告,包括:
获取所述漏洞列表在所述存储有所述特征编号的服务器执行预设的批处理任务后得到的返回信息;
抽取所述返回信息所包含的用于对所述漏洞列表中每一个漏洞进行风险评估的风险评估值;
根据预设的风险等级表,将所述风险评估值进行等级分类,形成数个风险等级漏洞分类组,汇总所述风险等级漏洞分类组的漏洞名称和等级标识后生成所述测试报告。
一种漏洞测试报告生成装置,包括如下模块:
模板建立模块,设置为获取被测系统和测试模板库,建立所述被测系统与所述测试模板库中测试模板的对应关系;
列表建立模块,设置为获取用户故事与所述测试模板的数个差异点,抽取所有所述差异点,汇总后形成漏洞列表;
报告生成模块,设置为发送所述漏洞列表至用于漏洞分析的服务器,接收所述用于漏洞分析的服务器的反馈信息后生成测试报告。
一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机可读指令,所述计算机可读指令被所述处理器执行时,使得所述处理器执行上述漏洞测试报告生成方法的步骤。
一种存储有计算机可读指令的存储介质,所述计算机可读指令被一个或多个处理器执行时,使得一个或多个处理器执行上述漏洞测试报告生成方法的步骤。
与现有机制相比,本申请中,通过建立用户故事和测试模板的对应关系建立的漏洞列表,能够自动实时分析出系统运行时产生的漏洞,具有很强的时效性,便于及时发现漏洞,并根据风险等级合理安排修复时间。通过对漏洞进行风险评估后建立测试报告,更好的反应不同漏洞对系统运行的危害,从而在进行系统修复时,可以根据漏洞等级的不同,安排修复漏洞的先后顺序。此外,利用风险等级表对漏洞列表中的漏洞进行了有效分析,同时应用远程服务器进行漏洞分析,避免因为本地设备产生漏洞后系统无法运行导致无法分析的问题。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本申请的限制。
图1为本申请在一个实施例中的一种漏洞测试报告生成方法的整体流程图;
图2为本申请在一个实施例中的一种漏洞测试报告生成方法中的模板建立过程示意图;
图3为本申请在一个实施例中的一种漏洞测试报告生成方法中的列表建立过程示意图;
图4为本申请在一个实施例中的一种漏洞测试报告生成方法中的报告生成过程示意图;
图5为本申请在一个实施例中的一种漏洞测试报告生成装置的结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本申请的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。
图1为本申请在一个实施例中的一种漏洞测试报告生成方法的整体流程图,如图1所示,一种漏洞测试报告生成方法,包括以下步骤:
S1,获取被测系统和测试模板库,建立所述被测系统与所述测试模板库中测试模板的对应关系;
具体的,获取被测系统的参数信息,根据参数信息确定被测系统的属性和版本,比如,被测系统是PC端系统还是APP端系统,是win10系统还是win7系统等。测试模板库是根据历次漏洞测试生成的测试报告集合,在测试模板库中的每一个测试模板上均记录有系统信息,根据记录的系统信息就可以知道被测系统对应的测试模板。
S2,获取用户故事与所述测试模板的数个差异点,抽取所有所述差异点,汇总后形成漏洞列表;
具体的,用户故事描述了对用户、系统或软件购买者有价值的功能。一个好的用户故事包括三个要素:角色:谁要使用这个功能,功能:需要完成什么样的功能;价值:为什么需要这个功能,这个功能带来什么样的价值。
用户故事和测试模板的差异点主要是指用户故事中的功能或者价值与测试模板中所反映的功能和价值的差异点。比如,某系统一个程序的用户故事中的功能是动画展示,而在测试模板中该程序的功能是图片展示,这就是一个差异点。
S3,发送所述漏洞列表至用于漏洞分析的服务器,接收所述用于漏洞分析的服务器的反馈信息后生成测试报告。
具体的,在将漏洞列表发送至用于漏洞分析的服务器时,需要对服务器的身份进行验证,即验证服务器是否为所述被测系统对应的服务器;只有是所述被测系统对应的服务器才能正确的分析被测系统的漏洞。
本实施例,通过建立用户故事和测试模板的对应关系建立的漏洞列表,能够自动实时分析出系统运行时产生的漏洞,具有很强的时效性,便于及时发现漏洞,并根据风险等级合理安排修复时间。
图2为本申请在一个实施例中的一种漏洞测试报告生成方法中的模板建立过程示意图,如图所示,所述S1,获取被测系统和测试模板库,建立所述被测系统与所述测试模板库中测试模板的对应关系,包括:
S101、获取各个系统运行的历史数据,根据所述系统运行的历史数据建立所述测试模板库;
具体的,设置数个数据采集时间节点,任意两个所述时间节点为等时间间距分布;以时间为横坐标轴,以漏洞数目为纵坐标轴建立漏洞统计坐标系;根据漏洞所属于的类型,在所述漏洞统计坐标系上建立不同颜色的柱状图;将所述柱状图中的不同类型的漏洞进行聚类,形成数个漏洞组;获取每一个所述漏洞组的特征词,根据所述特征词建立测试模板库。
S102、获取所述被测系统的版本特征代码,根据所述版本特征代码,设置用于获取所述被测系统的实时图像的数个时间节点;
具体的,在获取所述被测系统的版本特征代码时,可以采用下面的方案:获取被测系统各个接口中使用的函数的出参数据,将所述出参数据进行汇总,提取所述出参数据中公共部分作为所述系统版本特征代码。
在数据库中抽取出带有所述系统版本特征代码的配置文件,所述配置文件中包含有采集述被测系统的实时图像的数个时间节点。
S103、当所述时间节点到来时,截取将所述被测系统的实时图像,将所述实时图像进行文本描述,抽取所述文本描述中的关键字,根据所述关键字建立所述被测系统与所述测试模板库中测试模板的对应关系。
具体的,再将实时图像进行文本描述时可以采用类簇描述方法,类簇是一群隐藏在通用接口下的与实现相关的类,使得编写的代码可以独立于底层实现。例如,在在Foundation框架中,常见的类簇有NSString,NSArray,NSDictionary等。本步骤中的关键字为数字信息,这些数字信息对应测试模板的编号。
本实施例,通过采集被测系统的实时图像后进行文本描述,从而更好地将系统运行时的实时情况与测试模板建立对应关系,进而实时监测系统产生的漏洞。
图3为本申请在一个实施例中的一种漏洞测试报告生成方法中的列表建立过程示意图,如图所示,所述S2,获取用户故事与所述测试模板的数个差异点,抽取所有所述差异点,汇总后形成漏洞列表,包括:
S201、获取用户故事,按照所述用户故事包含的业务和功能对所述用户故事进行分解后建立初始用户故事模型;
其中,用户故事描述了对用户、系统或软件购买者有价值的功能。一个好的用户故事包括三个要素:角色:谁要使用这个功能,功能:需要完成什么样的功能;价值:为什么需要这个功能,这个功能带来什么样的价值。
在本步骤中,功能与用户故事三要素中的功能概念一致。而业务是指用户故事的角色在实现价值过程中产生的行为。
S202、根据预设的问题完整性校验规则,对所述初始用户故事模型进行修正后得到最终用户故事模型;
具体的,抽取初始用户故事模型中的领域标签和期望结果,根据所述领域标签获取各个领域的需求数量,若所述需求数量为零,则将所述领域标签从所述用户故事模型中去除;建立期望结果直方图,期望结果直方图的横坐标为时间,纵坐标为期望值,设置一基线,抽取所述期望结果直方图中高于所述基线的期望值,将高于所述基线的期望值入参到所述问题完整性校验规则,进行合规性校验;根据预设的文本数字转化规则,将符合所述问题完整性校验规则的期望值进行文本数值转换得到十六进制的期望值,将所述十六进制的期望值和所述领域标签进行排列组合得到校验后的用户故事模型。
本步骤中的问题完整性校验规则是指期望结果是否是一个完整的结果,其包括期望结果是否达到预设的长度,期望结果中是否存在着判断性语句等。
S203、抽取所述最终用户故事模型中的特征语句,获取所述特征语句在所述被测系统中的执行结果,将所述执行结果与所述测试模板中的预期结果进行比对后得到数个差异点,汇总所有所述差异点后形成漏洞列表。
具体的,设置抽取所述用户故事的初始语句长度,对所述初始语句进行特征词查找,若所述初始语句中包含有一个特征词,则将所述初始语句作为抽取所述用户故事的特征语句,若所述初始语句中不包含特征词,则放弃所述初始语句,重新获取下一个初始语句,若所述初始语句中包含两个或者两个以上的特征词,则以所述特征词为分割符,将所述初始语句分割成数个特征语句;其中,特征词是指用户故事中有关“角色”部分的字符。
获取被测系统各个接口的数据,从所述数据中抽取出带有所述特征语句的指令,在所述带有特征语句的指令的下方获取所述特征语句的执行结果;根据所述执行结果中带有的特征字符,将所述执行结果分割成数个执行元素,根据所述执行元素建立一执行结果矩阵,查询所述预期结果,从所述预期结果中抽取出与所述特征字符一致的字符,并根据这些字符将所述预期结果分割成数个预期元素,根据所述预期元素建立预期结果矩阵,将所述执行结果矩阵中的元素与预期结果矩阵中的元素进行比对,抽取出不一致元素,汇总所述不一致元素本身和位置信息构成漏洞列表。
本实施例,通过用户故事建立漏洞列表,从而对系统漏洞识别时更好的获取漏洞产生的系统信息。
图4为本申请在一个实施例中的一种漏洞测试报告生成方法中的报告生成过程示意图,如图所示,所述S3,发送所述漏洞列表至用于漏洞分析的服务器,接收所述用于漏洞分析的服务器的反馈信息后生成测试报告,包括:
S301、获取所述漏洞列表的特征编号,遍历各所述用于漏洞分析的服务器后得到存储有所述特征编号的服务器,发送所述漏洞列表至所述存储有特征编号的服务器;
具体的,获取所述漏洞分析服务器的IP地址,根据预设的所述用于漏洞分析的服务器IP地址与ID标识对应表,赋予所述用于漏洞分析的服务器以不同的ID标识;获取所述漏洞列表中漏洞统计数最多的类型名称,以所述类型名称为所述漏洞列表的特征编号;查询所述漏洞列表的特征编号与所述ID标识的相同字符数,抽取出相同字符数最多的一组漏洞列表和ID标识,作为所述漏洞列表与所述用于漏洞分析的服务器一一映射关系;根据一一映射关系,将所述漏洞列表至对应的用于漏洞分析的服务器。
S302、接收所述存储有所述特征编号的服务器对所述漏洞列表进行内容分析的风险评估结果后生成所述测试报告。
具体的,风险评估主要是对漏洞列表中的漏洞信息进行逐条评价,可以根据漏洞发生时系统的情况,将不同的漏洞分成数个等级,比如,A漏洞会导致整个系统崩溃,则等级为一级,B漏洞会导致浏览器崩溃,则等级为三级等等。将风险评估的结果写入到漏洞列表中各个漏洞所在行后形成表格化的测试报告。
本实施例,通过对漏洞进行风险评估后建立测试报告,更好地反应不同漏洞对系统运行的危害,从而在进行系统修复时,可以根据漏洞等级的不同,安排修复漏洞的先后顺序。
在一个实施例中,所述当所述时间节点到来时,截取将所述被测系统的实时图像,将所述实时图像进行文本描述,抽取所述文本描述中的关键字,根据所述关键字建立所述被测系统与所述测试模板库中测试模板的对应关系,包括:
当所述时间节点到来时,截取所述被测系统运行程序时产生的应用程序界面API图像;
具体的,API被定义为应用程序可用以与计算机操作系统交换信息和命令的标准集,又称应用程序接口。一个标准的应用程序界面为用户或软件开发商提供一个通用编程环境,以编写可交互运行于不同厂商计算机的应用程序。本申请中,应用程序界面API图像被定义为通过应用程序的API数据接口获取数据后在应用程序界面生成的图像,在进行API图像截取时可以选定的时间节点为程序开始运行时或者程序进行画面切换时。
将所述应用程序界面API图像分割成等大小的数个图像子块,获取每个所述图像子块所属的截屏类簇,抽取所述截屏类簇对应的类簇文本描述;
具体的,文本描述中包含测试信息,比如测试错误描述、测试操作过程及测试场景等测试信息。截屏类簇可以提供测试错误的状态,还可以提供测试的应用程序的外观及复杂的测试背景等。可以利用预先训练好的概率语言模型对截屏类簇进行文本描述后得到类簇文本描述。
根据所述类簇文本描述,从所述图像子块中抽取出关键字,汇总不同所述应用程序界面API图像的关键字得到被测系统关键字串,从所述测试模板库中抽取出具有所述被测系统关键字串的测试模板,建立所述被测系统与所述具有所述被测系统关键字串的测试模板的对应关系。
其中,图像子块的关键字是指图像是否为正常显示的字符串,可以采用布尔式字符作为图像子块的关键字。
本实施例,通过对系统运行时通过API获取数据后生成的应用界面的情况进行监控,从而使系统运行时产生的漏洞能够实时与测试模板对应,便于测试报告充分反应系统漏洞产生的时间等信息。
在一个实施例中,所述获取用户故事,按照所述用户故事包含的业务和功能对所述用户故事进行分解后建立初始用户故事模型,包括:
发送用户故事获取请求于客户端,接收所述客户端的反馈信息;
具体的,在将用户故事发送至客户端时,可以对客户端的身份进行验证,验证的方式可以是对客户端使用者进行生物识别验证,也可以是对客户端的名称与用户故事中的角色名称进行一致性核验。
抽取所述反馈信息中的业务特征词和功能特征词,根据所述业务特征词和功能特征词,将所述反馈信息聚类成业务组和功能组;
其中,业务特征词是指当前系统所要运行的程序名称和运行该程序后所要达到的预期效果,功能特征词是指在系统运行上述程序时需要调用的功能模块,比如调用CPU、显卡,不调用声卡,则功能特征词为CPU显卡。将同一类的业务特征词可以聚类成业务组,将同一类的功能特征词可以聚类成功能组。
分别获取所述业务组和所述功能组的需求参数,根据所述需求参数与所述被测系统的API接口的对应关系,建立所述初始用户故事模型。
具体的,需求参数是指业务组或者功能组实现各自功能时所需要的参数,比如,运行一款3D游戏需要CPU的占用率为70%。需求参数和API接口的对应关系,可以将需求参数入参到各个API接口的函数中进行计算,根据计算结果与预设的结果进行比较后得到的对应关系。
本实施例,通过需求参数建立初始用户故事模型,从而更好的获得用户故事与测试报告的差异点。
在一个实施例中,所述接收所述存储有所述特征编号的服务器对所述漏洞列表进行内容分析的风险评估结果后生成所述测试报告,包括:
获取所述漏洞列表在所述存储有所述特征编号的服务器执行预设的批处理任务后得到的返回信息;
具体的,调取客户端的XML文件,将XML文件和所述漏洞列表,发送至存储有所述特征编号的服务器执行批处理任务.bat后得到关于漏洞列表中漏洞风险的返回信息,根据所述特征编号的服务器的网络地址,接收所述返回信息。
抽取所述返回信息所包含的用于对所述漏洞列表中每一个漏洞进行风险评估的风险评估值;
具体的,在对返回信息进行抽取时,可以从返回信息的起始字符端进行查询抽取,也可以从返回信息的终止字符段进行查询抽取,还可以从返回信息中间任意位置作为查询起点进行抽取。
根据预设的风险等级表,将所述风险评估值进行等级分类,形成数个风险等级漏洞分类组,汇总所述风险等级漏洞分类组的漏洞名称和等级标识后生成所述测试报告。
本实施例,利用风险等级表对漏洞列表中的漏洞进行了有效分析,同时应用远程服务器进行漏洞分析,避免因为本地设备产生漏洞后系统无法运行导致无法分析的问题。
在一个实施例中,提出了一种漏洞测试报告生成装置,如图5所示,包括如下模块:
模板建立模块51,设置为获取被测系统和测试模板库,建立所述被测系统与所述测试模板库中测试模板的对应关系;
列表建立模块52,设置为获取用户故事与所述测试模板的数个差异点,抽取所有所述差异点,汇总后形成漏洞列表;
报告生成模块53,设置为发送所述漏洞列表至用于漏洞分析的服务器,接收所述用于漏洞分析的服务器的反馈信息后生成测试报告。
在一个实施例中,提出了一种计算机设备,所述计算机设备包括存储器和处理器,存储器中存储有计算机可读指令,计算机可读指令被处理器执行时,使得处理器执行上述各实施例中的所述洞测试报告生成方法的步骤。
在一个实施例中,提出了一种存储有计算机可读指令的存储介质,该计算机可读指令被一个或多个处理器执行时,使得一个或多个处理器执行上述各实施例中的所述洞测试报告生成方法的步骤。其中,所述存储介质可以为非易失性存储介质。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、磁盘或光盘等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请一些示例性实施例,其中描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种漏洞测试报告生成方法,其特征在于,包括:
获取被测系统和测试模板库,建立所述被测系统与所述测试模板库中测试模板的对应关系;
获取用户故事与所述测试模板的数个差异点,抽取所有所述差异点,汇总后形成漏洞列表;
发送所述漏洞列表至用于漏洞分析的服务器,接收所述用于漏洞分析的服务器的反馈信息后生成测试报告。
2.根据权利要求1所述的漏洞测试报告生成方法,其特征在于,所述获取被测系统和测试模板库,建立所述被测系统与所述测试模板库中测试模板的对应关系,包括:
获取各个系统运行的历史数据,根据所述系统运行的历史数据建立所述测试模板库;
获取所述被测系统的版本特征代码,根据所述版本特征代码,设置用于获取所述被测系统的实时图像的数个时间节点;
当所述时间节点到来时,截取将所述被测系统的实时图像,将所述实时图像进行文本描述,抽取所述文本描述中的关键字,根据所述关键字建立所述被测系统与所述测试模板库中测试模板的对应关系。
3.根据权利要求1所述的漏洞测试报告生成方法,其特征在于,所述获取用户故事与所述测试模板的数个差异点,抽取所有所述差异点,汇总后形成漏洞列表,包括:
获取用户故事,按照所述用户故事包含的业务和功能对所述用户故事进行分解后建立初始用户故事模型;
根据预设的问题完整性校验规则,对所述初始用户故事模型进行修正后得到最终用户故事模型;
抽取所述最终用户故事模型中的特征语句,获取所述特征语句在所述被测系统中的执行结果,将所述执行结果与所述测试模板中的预期结果进行比对后得到数个差异点,汇总所有所述差异点后形成漏洞列表。
4.根据权利要求1所述的漏洞测试报告生成方法,其特征在于,所述发送所述漏洞列表至用于漏洞分析的服务器,接收所述用于漏洞分析的服务器的反馈信息后生成测试报告,包括:
获取所述漏洞列表的特征编号,遍历各所述用于漏洞分析的服务器后得到存储有所述特征编号的服务器,发送所述漏洞列表至所述存储有特征编号的服务器;
接收所述存储有所述特征编号的服务器对所述漏洞列表进行内容分析的风险评估结果后生成所述测试报告。
5.根据权利要求2所述的漏洞测试报告生成方法,其特征在于,所述当所述时间节点到来时,截取将所述被测系统的实时图像,将所述实时图像进行文本描述,抽取所述文本描述中的关键字,根据所述关键字建立所述被测系统与所述测试模板库中测试模板的对应关系,包括:
当所述时间节点到来时,截取所述被测系统运行程序时产生的应用程序界面API图像;
将所述应用程序界面API图像分割成等大小的数个图像子块,获取每个所述图像子块所属的截屏类簇,抽取所述截屏类簇对应的类簇文本描述;
根据所述类簇文本描述,从所述图像子块中抽取出关键字,汇总不同所述应用程序界面API图像的关键字得到被测系统关键字串,从所述测试模板库中抽取出具有所述被测系统关键字串的测试模板,建立所述被测系统与所述具有所述被测系统关键字串的测试模板的对应关系。
6.根据权利要求3所述的漏洞测试报告生成方法,其特征在于,所述获取用户故事,按照所述用户故事包含的业务和功能对所述用户故事进行分解后建立初始用户故事模型,包括:
发送用户故事获取请求于客户端,接收所述客户端的反馈信息;
抽取所述反馈信息中的业务特征词和功能特征词,根据所述业务特征词和功能特征词,将所述反馈信息聚类成业务组和功能组;
分别获取所述业务组和所述功能组的需求参数,根据所述需求参数与所述被测系统的API接口的对应关系,建立所述初始用户故事模型。
7.根据权利要求4所述的漏洞测试报告生成方法,其特征在于,所述接收所述存储有所述特征编号的服务器对所述漏洞列表进行内容分析的风险评估结果后生成所述测试报告,包括:
获取所述漏洞列表在所述存储有所述特征编号的服务器执行预设的批处理任务后得到的返回信息;
抽取所述返回信息所包含的用于对所述漏洞列表中每一个漏洞进行风险评估的风险评估值;
根据预设的风险等级表,将所述风险评估值进行等级分类,形成数个风险等级漏洞分类组,汇总所述风险等级漏洞分类组的漏洞名称和等级标识后生成所述测试报告。
8.一种漏洞测试报告生成装置,其特征在于,包括:
模板建立模块,设置为获取被测系统和测试模板库,建立所述被测系统与所述测试模板库中测试模板的对应关系;
列表建立模块,设置为获取用户故事与所述测试模板的数个差异点,抽取所有所述差异点,汇总后形成漏洞列表;
报告生成模块,设置为发送所述漏洞列表至用于漏洞分析的服务器,接收所述用于漏洞分析的服务器的反馈信息后生成测试报告。
9.一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机可读指令,所述计算机可读指令被所述处理器执行时,使得所述处理器执行如权利要求1至7中任一项权利要求所述漏洞测试报告生成方法的步骤。
10.一种存储有计算机可读指令的存储介质,所述计算机可读指令被一个或多个处理器执行时,使得一个或多个处理器执行如权利要求1至7中任一项权利要求所述漏洞测试报告生成方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910200319.1A CN110069400A (zh) | 2019-03-16 | 2019-03-16 | 漏洞测试报告生成方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910200319.1A CN110069400A (zh) | 2019-03-16 | 2019-03-16 | 漏洞测试报告生成方法、装置、计算机设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110069400A true CN110069400A (zh) | 2019-07-30 |
Family
ID=67366345
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910200319.1A Pending CN110069400A (zh) | 2019-03-16 | 2019-03-16 | 漏洞测试报告生成方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110069400A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113127324A (zh) * | 2019-12-30 | 2021-07-16 | 北京新能源汽车股份有限公司 | 测试报告自动化生成方法、装置、计算机设备及存储介质 |
| CN114037270A (zh) * | 2021-11-08 | 2022-02-11 | 奇安信科技集团股份有限公司 | 一种工业控制安全评估系统及方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102428442A (zh) * | 2009-03-06 | 2012-04-25 | 泰克斯维尔公司 | 发布系统、获取系统以及支付网络/系统开发 |
| US20150363302A1 (en) * | 2014-06-13 | 2015-12-17 | Ebay Inc. | A/b testing for mobile applications |
| CN105389586A (zh) * | 2015-10-20 | 2016-03-09 | 浙江大学 | 一种基于计算机视觉自动检测虾体完整性的方法 |
| CN106095670A (zh) * | 2016-06-02 | 2016-11-09 | 网易(杭州)网络有限公司 | 测试报告的生成方法及装置 |
| US20170083780A1 (en) * | 2015-09-17 | 2017-03-23 | Nihon Medi-Physics Co., Ltd. | ROI Setting Technique for Imaging Test of Living Body |
| US20170132200A1 (en) * | 2014-06-25 | 2017-05-11 | James Noland | Method, System, and Medium for Workflow Management of Document Processing |
| CN107678936A (zh) * | 2017-06-25 | 2018-02-09 | 平安科技(深圳)有限公司 | 业务系统预先稽查方法、服务器及计算机可读存储介质 |
| US20180343352A1 (en) * | 2017-05-29 | 2018-11-29 | Yuuichiroh Hayashi | Information processing system, information processing apparatus, and information processing method |
-
2019
- 2019-03-16 CN CN201910200319.1A patent/CN110069400A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102428442A (zh) * | 2009-03-06 | 2012-04-25 | 泰克斯维尔公司 | 发布系统、获取系统以及支付网络/系统开发 |
| US20150363302A1 (en) * | 2014-06-13 | 2015-12-17 | Ebay Inc. | A/b testing for mobile applications |
| US20170132200A1 (en) * | 2014-06-25 | 2017-05-11 | James Noland | Method, System, and Medium for Workflow Management of Document Processing |
| US20170083780A1 (en) * | 2015-09-17 | 2017-03-23 | Nihon Medi-Physics Co., Ltd. | ROI Setting Technique for Imaging Test of Living Body |
| CN105389586A (zh) * | 2015-10-20 | 2016-03-09 | 浙江大学 | 一种基于计算机视觉自动检测虾体完整性的方法 |
| CN106095670A (zh) * | 2016-06-02 | 2016-11-09 | 网易(杭州)网络有限公司 | 测试报告的生成方法及装置 |
| US20180343352A1 (en) * | 2017-05-29 | 2018-11-29 | Yuuichiroh Hayashi | Information processing system, information processing apparatus, and information processing method |
| CN107678936A (zh) * | 2017-06-25 | 2018-02-09 | 平安科技(深圳)有限公司 | 业务系统预先稽查方法、服务器及计算机可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 邓金城;彭应林;刘常春;陈子杰;雷国胜;吴江华;张广顺;邓小武;: "深度卷积神经网络在放射治疗计划图像分割中的应用", 中国医学物理学杂志, no. 06 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113127324A (zh) * | 2019-12-30 | 2021-07-16 | 北京新能源汽车股份有限公司 | 测试报告自动化生成方法、装置、计算机设备及存储介质 |
| CN113127324B (zh) * | 2019-12-30 | 2024-04-19 | 北京新能源汽车股份有限公司 | 测试报告自动化生成方法、装置、计算机设备及存储介质 |
| CN114037270A (zh) * | 2021-11-08 | 2022-02-11 | 奇安信科技集团股份有限公司 | 一种工业控制安全评估系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8074204B2 (en) | Test automation for business applications | |
| US20190340512A1 (en) | Analytics for an automated application testing platform | |
| Pan et al. | Gui-guided test script repair for mobile apps | |
| US20130014084A1 (en) | International Testing Platform | |
| US20200106792A1 (en) | Method and system for penetration testing classification based on captured log data | |
| CN111291384B (zh) | 漏洞扫描方法、装置及电子设备 | |
| CA2773981C (en) | System and method of substituting parameter sets in self-contained mini-applications | |
| US10509719B2 (en) | Automatic regression identification | |
| Misirli et al. | Ai-based software defect predictors: Applications and benefits in a case study | |
| CN107862327B (zh) | 一种基于多特征的安全缺陷识别系统和方法 | |
| US11436133B2 (en) | Comparable user interface object identifications | |
| US20180232299A1 (en) | Composing future tests | |
| Martin-Lopez et al. | Black-box and white-box test case generation for RESTful APIs: Enemies or allies? | |
| CN110069400A (zh) | 漏洞测试报告生成方法、装置、计算机设备和存储介质 | |
| CN108429747A (zh) | 一种大规模Web服务器信息采集方法 | |
| CN108334441A (zh) | 一种软件开发工具包的自动化测试方法和系统 | |
| US20090327971A1 (en) | Informational elements in threat models | |
| CN111930611B (zh) | 一种测试数据的统计方法和装置 | |
| US20180137036A1 (en) | Determining potential test actions | |
| CN112464237A (zh) | 一种静态代码安全诊断方法及装置 | |
| US20230185692A1 (en) | Highly Tested Systems | |
| Motan et al. | Android app testing: A model for generating automated lifecycle tests | |
| KR102643598B1 (ko) | 패턴 기반 SoS 내 실패 유발 상호작용 분석 방법 및 장치 | |
| CN114185807A (zh) | 测试数据管理方法、装置、计算机设备及存储介质 | |
| Alshanqiti et al. | Extracting Visual Contracts from Java Programs (T) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20240614 |