CN110597724A - 应用安全测试组件的调用方法、装置、服务器及存储介质 - Google Patents
应用安全测试组件的调用方法、装置、服务器及存储介质 Download PDFInfo
- Publication number
- CN110597724A CN110597724A CN201910881272.XA CN201910881272A CN110597724A CN 110597724 A CN110597724 A CN 110597724A CN 201910881272 A CN201910881272 A CN 201910881272A CN 110597724 A CN110597724 A CN 110597724A
- Authority
- CN
- China
- Prior art keywords
- test
- configuration file
- test component
- preset configuration
- key parameters
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/362—Software debugging
- G06F11/3644—Software debugging by instrumenting at runtime
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/362—Software debugging
- G06F11/366—Software debugging using diagnostics
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Abstract
本发明实施例公开了一种应用安全测试组件的调用方法、装置、服务器及存储介质,所述方法包括:获取待测试数据流量的关键参数;将所述关键参数发送至动态代码模块;所述动态代码模块读取预设配置文件;根据所述预设配置文件和所述关键参数进行应用安全测试。实现了使用动态代码模块进行应用安全测试,预设配置文件可以随改随用,提高了应用安全测试的可拓展性;并且通过预设配置文件将测试组件进行模块化,使企业用户能够快速构建企业信息安全测试能力矩阵,同时也解决了应用安全扫描系统中集成不同操作系统的测试工具的兼容性问题。
Description
技术领域
本发明实施例涉及系统信息安全领域,尤其涉及一种应用安全测试组件的调用方法、装置、服务器及存储介质。
背景技术
随着移动通讯技术的日益发达,以及国家网络安全法的进一步落地。企业业务系统在信息安全领域所面对的挑战日益严重。
现在大部分系统均采用特定语言开发及固定拓展方式来接入安全测试工具(或称安全测试组件),由安全人员针对特定的漏洞先进行研究,然后根据特定代码语言编写成固定格式的测试工具,再接入信息安全系统,最后提供安全扫描服务功能。这种测试工具的建立方式往往无法跟上项目敏捷迭代研发的速度,造成信息安全建设滞后,建设人力成本过高的情况,并且,缺乏对已有的很多信息安全业界知名的、高效的、开源的信息安全工具的接入支持,拓展性不足导致无法快速建立信息安全系统。
发明内容
有鉴于此,本发明实施例提供一种应用安全测试组件的调用方法、装置、服务器及存储介质,以实现快速构建企业信息安全测试系统,解决应用安全扫描系统中集成不同操作系统中使用的工具的兼容性问题。
第一方面,本发明实施例提供一种应用安全测试组件的调用方法,包括:
获取待测试数据流量的关键参数;
将所述关键参数发送至动态代码模块;
所述动态代码模块读取预设配置文件;
根据所述预设配置文件和所述关键参数进行应用安全测试。
进一步的,所述预设配置文件包括多个测试组件配置文件,一个所述测试组件配置文件包括:配置策略、执行命令、测试组件名称、漏洞简介、风险描述、修复建议、第一特征码、第二特征码和第三特征码。
进一步的,所述根据所述预设配置文件和所述关键参数进行应用安全测试包括:
判断当前所述测试组件配置文件中的所述配置策略是否为真;
若是,将所述关键参数载入所述执行命令中形成调用命令;
通过所述调用命令和所述测试组件名称调用对应的测试组件进行应用安全测试。
进一步的,所述若是,则通过所述调用命令和所述测试组件名称调用对应的测试组件进行应用安全测试之后,包括:
获取测试结果;
判断所述测试结果中是否包括所述第一特征码;
若包括,则将所述第一特征码对应的漏洞简介、风险描述和修复建议写入数据库。
进一步的,所述获取测试结果之后,还包括:
判断所述测试结果中是否包括所述第二特征码;
若包括,则将测试无异常作为测试结果写入数据库。
进一步的,所述获取测试结果之后,还包括:
判断所述测试结果中是否包括所述第三特征码;
若不包括,则将测试未正常进行作为测试结果写入数据库。
进一步的,所述预设配置文件的建立方法包括:
部署测试组件至服务器;
配置所述测试组件对应的测试组件配置文件;
多个所述测试组件配置文件形成所述预设配置文件。
第二方面,本发明实施例提供一种应用安全测试组件的调用装置,包括:
关键参数获取模块,用于获取待测试数据流量的关键参数;
关键参数发送模块,用于将所述关键参数发送至动态代码模块;
预设配置文件读取模块,用于所述动态代码模块读取预设配置文件;
应用安全测试模块,用于根据所述预设配置文件和所述关键参数进行应用安全测试。
第三方面,本发明实施例提供一种服务器,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明任意实施例提供的应用安全测试组件的调用方法。
第四方面,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明任意实施例提供的应用安全测试组件的调用方法。
本发明实施例提供的应用安全测试组件的调用方法,通过获取待测试数据流量的关键参数;将所述关键参数发送至动态代码模块;所述动态代码模块读取预设配置文件;根据所述预设配置文件和所述关键参数进行应用安全测试。实现了使用动态代码模块进行应用安全测试,预设配置文件可以随改随用,提高了应用安全测试的可拓展性;并且通过预设配置文件将测试组件进行模块化,使企业用户能够快速构建企业信息安全测试能力矩阵,同时也解决了应用安全扫描系统中集成不同操作系统的测试工具的兼容性问题。
附图说明
图1为本发明实施例一提供的应用安全测试组件的调用方法的流程示意图;
图2为本发明实施例二提供的应用安全测试组件的调用方法的流程示意图;
图3为本发明实施例三提供的预设配置文件的建立方法的流程示意图;
图4为本发明实施例四提供的应用安全测试组件的调用装置的结构示意图。
图5为本发明实施例五提供的一种服务器的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各步骤描述成顺序的处理,但是其中的许多步骤可以被并行地、并发地或者同时实施。此外,各步骤的顺序可以被重新安排。当其操作完成时处理可以被终止,但是还可以具有未包括在附图中的附加步骤。处理可以对应于方法、函数、规程、子例程、子程序等等。
此外,术语“第一”、“第二”等可在本文中用于描述各种方向、动作、步骤或元件等,但这些方向、动作、步骤或元件不受这些术语限制。这些术语仅用于将当前方向、动作、步骤或元件与另一个方向、动作、步骤或元件区分。举例来说,在不脱离本申请的范围的情况下,可以将第一特征码称为第二特征码,且类似地,可将第二特征码称为第一特征码。第一特征码和第二特征码两者都是特征码,但其不是同一特征码。术语“第一”、“第二”等而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
实施例一
图1为本发明实施例一提供的应用安全测试组件的调用方法的流程示意图,可适用于对应用进行安全测试。该方法可以由应用安全测试装置来执行,该装置可以采用软件和/或硬件的方式实现,并可集成在服务器上。
如图1所示,本发明实施例提供的应用安全测试组件的调用方法包括:
S110、获取待测试数据流量的关键参数。
具体的,超文本传输协议(HTTP,HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络传输协议,当企业用户使用应用进行互联网操作时,会产生很多HTTP数据,这些HTTP数据称为HTTP数据流量。根据用户的操作不同,HTTP数据流量可以分为静态HTTP数据流量和动态HTTP数据流量,动态HTTP数据流量是具有动作性的操作,静态HTTP数据流量是静态的非动作性的操作,例如,用户使用浏览器搜索一张图片,其中产生的图片数据流量是静态HTTP数据流量,搜索则是动态HTTP数据流量。本发明提供的应用安全测试方法仅对动态HTTP数据流量进行安全测试。
获取待测试数据流量,即获取带测试动态HTTP数据流量,但是并不是所有的动态HTTP数据流量都需要进行测试,通过待测试数据流量的关键参数来识别是否为需要进行测试的待测试数据流量,例如待测试数据流量的关键参数为:url、uri、host、headers、post_data、cookie、method等。待测试数据流量的关键参数通常存入内存中。
S120、将所述关键参数发送至动态代码模块。
具体的,动态代码模块可以看成是一种动态代码结构,动态代码执行时具有较高的可编辑性和可拓展性。将待测试数据流量的关键参数从内存中发送到动态代码模块,动态代码模块则可以对关键参数进行动态配置。
S130、所述动态代码模块读取预设配置文件。
具体的,动态代码模块读取预设配置文件的内容,预设配置文件包括多个测试组件配置文件,测试组件是用来对应用或系统进行安全检测的测试组件或测试工具(本申请中统称为测试组件),测试组件配置文件包括:配置策略、执行命令、测试组件名称、漏洞简介、风险描述、修复建议、第一特征码、第二特征码。配置策略有true和false两种状态,当配置策略为true时,表示当前测试组件需要执行,当配置策略为false时,表示当前测试组件不需要执行。执行命令指的是动态代码模块调用当前测试组件时执行的命令。测试组件名称则是当前测试组件的名称。漏洞简介是测试组件能够测试出来的漏洞类型和/或漏洞详细情况的介绍。风险描述可以是对漏洞会对应用安全产生的影响的描述,也可以通过风险等级来显示,例如CVSS3(Common Vulnerability Scoring System,通用漏洞评估方法)。修复建议则是修复漏洞的建议。第一特征码是被测试数据存在漏洞的响应文本特征码,第二特征码是被测试数据不存在漏洞的响应文本特征码,第三特征码是测试组件正常完成测试的响应文本特征码。
S140、根据所述预设配置文件和所述关键参数进行应用安全测试。
具体的,动态代码模块读取预设配置文件的内容后,将关键参数载入预设配置文件中,实现动态配置,然后将预设配置文件的内容作为动态代码予以执行,通过配置文件调用不同的测试组件进行应用安全测试。关键参数不同,调用的测试组件则不同,因此测试组件的调用需要根据关键参数来选择。
本发明实施例一通过获取待测试数据流量的关键参数;将所述关键参数发送至动态代码模块;所述动态代码模块读取预设配置文件;根据所述预设配置文件和所述关键参数进行应用安全测试。实现了使用动态代码模块进行应用安全测试,预设配置文件可以随改随用,提高了应用安全测试的可拓展性;并且通过预设配置文件将测试组件进行模块化,使企业用户能够快速构建企业信息安全测试能力矩阵,同时也解决了应用安全扫描系统中集成不同操作系统的测试工具的兼容性问题。
实施例二
图2为本发明实施例二提供应用安全测试组件的调用方法的流程示意图,本实施例是对上述实施例的进一步细化。如图2所示,本发明实施例二提供应用安全测试组件的调用方法包括:
S201、获取待测试数据流量的关键参数。
具体的,超文本传输协议(HTTP,HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络传输协议,当企业用户使用应用进行互联网操作时,会产生很多HTTP数据,这些HTTP数据称为HTTP数据流量。根据用户的操作不同,HTTP数据流量可以分为静态HTTP数据流量和动态HTTP数据流量,动态HTTP数据流量是具有动作性的操作,静态HTTP数据流量是静态的非动作性的操作,例如,用户使用浏览器搜索一张图片,其中产生的图片数据流量是静态HTTP数据流量,搜索则是动态HTTP数据流量。本发明提供的应用安全测试方法仅对动态HTTP数据流量进行安全测试。
获取待测试数据流量,即获取带测试动态HTTP数据流量,但是并不是所有的动态HTTP数据流量都需要进行测试,通过待测试数据流量的关键参数来识别是否为需要进行测试的待测试数据流量,例如待测试数据流量的关键参数为:url、uri、host、headers、post_data、cookie、method等。待测试数据流量的关键参数通常存入内存中。
S202、将所述关键参数发送至动态代码模块。
具体的,动态代码模块可以看成是一种动态代码结构,动态代码执行时具有较高的可编辑性和可拓展性。将待测试数据流量的关键参数从内存中发送到动态代码模块,动态代码模块则可以对关键参数进行动态配置。
S203、所述动态代码模块读取预设配置文件,所述配置文件包括多个测试组件配置文件,一个所述测试组件配置文件包括:配置策略、执行命令、测试组件名称、漏洞简介、风险描述、修复建议、第一特征码和第二特征码。
S204、判断当前所述测试组件配置文件中的所述配置策略是否为真。
具体的,根据测试组件配置文件中的配置策略来判断是否当前测试组件是否需要执行,当需要执行当前测试组件时,则调用对应的测试组件或工具进行应用安全测试,遍历预设配置文件中的所有测试组件配置文件,将需要执行的测试组件全部执行完成后,应用安全测试才算完成。
若当前测试组件配置文件中的配置策略为真,即配置策略为true,说明该测试组件需要执行,则执行步骤S205,否则判断下一个测试组件配置文件中的配置策略已确定下一个测试组件是否需要执行,依次遍历所有测试组件配置文件中的配置策略。
S205、若是,将所述关键参数载入所述执行命令中形成调用命令。
具体的,将关键参数作为执行命令的后缀载入,形成调用命令,例如,执行命令为windows系统测试组件的执行命令:xsstest.exe,关键参数为url,则将关键参数作为执行命令的后缀载入而形成的调用命令为:xsstest.exe url。
S206、通过所述调用命令和所述测试组件名称调用对应的测试组件进行应用安全测试。
具体的,通过调用命令和测试组件名称即可调用对应的测试组件,从而对应用安全进行测试。
S207、获取测试结果。
具体的,获取测试组件进行应用安全测试后的测试结果。
S208、判断所述测试结果中是否包括所述第一特征码。
具体的,用第一特征码去匹配测试结果中的内容,若匹配成功,则说明测试结果中有第一特征码;若匹配不成功,则说明测试结果中没有第一特征码。
S209、若包括,则将所述第一特征码对应的漏洞简介、风险描述和修复建议写入数据库。
具体的,若测试结果中有第一特征码,说明被测试数据存在漏洞,则根据第一特征码科研获取到对应的漏洞简介、风险描述和修复建议,将漏洞简介、风险描述和修复建议写入数据库,可以随时查看。一般情况下,一种测试工具通常能检测出一种漏洞。
S210、判断所述测试结果中是否包括所述第二特征码。
具体的,用第二特征码去匹配测试结果中的内容,若匹配成功,则说明测试结果中有第二特征码;若匹配不成功,则说明测试结果中没有第二特征码。
S211、若包括,则将测试无异常作为测试结果写入数据库。
具体的,若测试结果中有第二特征码,说明被测试数据不存在对应类型的漏洞,则将测试无异常作为测试结果写入数据库,可以随时查看。
S212、判断所述测试结果中是否包括所述第三特征码。
具体的,用第三特征码去匹配测试结果中的内容,若匹配成功,则说明测试结果中有第三特征码;若匹配不成功,则说明测试结果中没有第三特征码。
S213、若不包括,则将测试未正常进行作为测试结果写入数据库。
具体的,若测试结果中没有第三特征码,说明测试组件没有正常完成测试,可能是由于网络卡顿等原因造成测试组件未能正常完成测试,此时反馈测试结果为测试未正常进行,测试人员后续需要针对该项测试进行重新测试。
本发明实施例二通过预设配置文件调用测试组件进行测试,预设配置文件中包含多个测试组件配置文件,从而在测试时可以调用多个不同的测试组件进行多项测试,解决了应用安全扫描系统中集成不同操作系统的测试工具的兼容性问题。
实施例三
图3为本发明实施例三提供的预设配置文件的建立方法的流程示意图,本实施例是对上述实施例中预设配置文件的建立的进一步细化。如图3所示,本发明实施例三提供的预设配置文件的建立方法包括:
S310、部署测试组件至服务器。
具体的,将测试组件部署到服务器,当进行应用安全测试时,则可以从服务器中调用对应的测试组件进行测试。
S320、配置所述测试组件对应的测试组件配置文件。
具体的,一个测试组件对应配置一个测试组件配置文件,测试组件配置文件包括:配置策略、执行命令、测试组件名称、漏洞简介、风险描述、修复建议、第一特征码、第二特征码。配置策略有true和false两种状态,当配置策略为true时,表示当前测试组件需要执行,当配置策略为false时,表示当前测试组件不需要执行。执行命令指的是动态代码模块调用当前测试组件时执行的命令。测试组件名称则是当前测试组件的名称。漏洞简介是测试组件能够测试出来的漏洞类型和/或漏洞详细情况的介绍。风险描述可以是对漏洞会对应用安全产生的影响的描述,也可以通过风险等级来显示,例如CVSS3(Common VulnerabilityScoring System,通用漏洞评估方法)。修复建议则是修复漏洞的建议。第一特征码是被测试数据存在漏洞的响应文本特征码,第二特征码是被测试数据不存在漏洞的响应文本特征码,第三特征码是测试组件正常完成测试的响应文本特征码。
S330、多个所述测试组件配置文件形成所述预设配置文件。
具体的,预设配置文件包括多个测试组件配置文件,在测试过程中,预设配置文件可以随改随用,在动态代码模块每次读取配置文件之前,预设配置文件都可以进行更新,动态代码模块会读取最新的预设配置文件。
本发明实施例三通过部署测试组件至服务器;配置所述测试组件对应的测试组件配置文件;多个所述测试组件配置文件形成所述预设配置文件。实现了将多个测试组件形成预设配置文件,将测试组件模块化,通过预设配置文件集成多类型的测试组件,解决了不同操作系统测试工具的兼容性问题。
实施例四
图4为本发明实施例四提供的应用安全测试组件的调用装置的结构示意图,可适用于对应用进行安全测试。该装置可以采用软件和/或硬件的方式实现,并可集成在服务器上。本发明实施例所提供的应用安全测试组件的调用装置可执行本发明任意实施例所提供的应用安全测试组件的调用方法,具备执行方法相应的功能模块和有益效果。本发明实施例四中未详尽描述的内容可以参考本发明任意方法实施例中的描述。
如图4所示,本发明实施例四提供的应用安全测试组件的调用装置400包括:关键参数获取模块410、关键参数发送模块420、预设配置文件读取模块430和应用安全测试模块440。
关键参数获取模块410用于获取待测试数据流量的关键参数;
关键参数发送模块420用于将所述关键参数发送至动态代码模块;
预设配置文件读取模块430用于所述动态代码模块读取预设配置文件;
应用安全测试模块440用于根据所述预设配置文件和所述关键参数进行应用安全测试。
进一步的,所述预设配置文件包括多个测试组件配置文件,一个所述测试组件配置文件包括:配置策略、执行命令、测试组件名称、漏洞简介、风险描述、修复建议、第一特征码、第二特征码和第三特征码。
进一步的,所述应用安全测试模块440包括:
配置策略判断单元,用于判断当前所述测试组件配置文件中的所述配置策略是否为真;
调用命令形成单元,用于若是,将所述关键参数载入所述执行命令中形成调用命令;
应用安全测试单元,用于通过所述调用命令和所述测试组件名称调用对应的测试组件进行应用安全测试。
进一步的,所述应用安全测试模块440还包括:
测试结果获取单元,用于获取测试结果;
第一特征码判断单元,用于判断所述测试结果中是否包括所述第一特征码;
第一测试结果写入单元,用于若包括,则将所述第一特征码对应的漏洞简介、风险描述和修复建议写入数据库。
进一步的,所述应用安全测试模块440还包括:
第二特征码判断单元,用于判断所述测试结果中是否包括所述第二特征码;
第二测试结果写入单元,用于若包括,则将测试无异常作为测试结果写入数据库。
进一步的,所述应用安全测试模块440还包括:
第三特征码判断单元,用于判断所述测试结果中是否包括所述第三特征码;
第三测试结果写入单元,用于若不包括,则将测试未正常进行作为测试结果写入数据库。
进一步的,所述预设配置文件的建立装置包括:
测试组件部署模块,用于部署测试组件至服务器;
测试组件配置文件配置模块,用于配置所述测试组件对应的测试组件配置文件;
预设配置文件形成模块,用于多个所述测试组件配置文件形成所述预设配置文件。
本发明实施例四通过关键参数获取模块,用于获取待测试数据流量的关键参数;关键参数发送模块,用于将所述关键参数发送至动态代码模块;预设配置文件读取模块,用于所述动态代码模块读取预设配置文件;应用安全测试模块,用于根据所述预设配置文件和所述关键参数进行应用安全测试。实现了使用动态代码模块进行应用安全测试,预设配置文件可以随改随用,提高了应用安全测试的可拓展性;并且通过预设配置文件将测试组件进行模块化,使企业用户能够快速构建企业信息安全测试能力矩阵,同时也解决了应用安全扫描系统中集成不同操作系统的测试工具的兼容性问题。
实施例五
图5是本发明实施例五提供的一种服务器的结构示意图。图5示出了适于用来实现本发明实施方式的示例性服务器512的框图。图5显示的服务器512仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图5所示,服务器512以通用服务器的形式表现。服务器512的组件可以包括但不限于:一个或者多个处理器516(图5中以一个处理器为例),存储装置528,连接不同系统组件(包括存储装置528和处理器516)的总线518。
总线518表示几类总线结构中的一种或多种,包括存储装置总线或者存储装置控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(Industry SubversiveAlliance,ISA)总线,微通道体系结构(Micro Channel Architecture,MAC)总线,增强型ISA总线、视频电子标准协会(Video Electronics Standards Association,VESA)局域总线以及外围组件互连(Peripheral Component Interconnect,PCI)总线。
服务器512典型地包括多种计算机系统可读介质。这些介质可以是任何能够被服务器512访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
存储装置528可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(Random Access Memory,RAM)530和/或高速缓存存储器532。服务器512可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统534可以用于读写不可移动的、非易失性磁介质(图5未显示,通常称为“硬盘驱动器”)。尽管图5中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘,例如只读光盘(Compact Disc Read-Only Memory,CD-ROM),数字视盘(Digital Video Disc-Read Only Memory,DVD-ROM)或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线518相连。存储装置528可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块542的程序/实用工具540,可以存储在例如存储装置528中,这样的程序模块542包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块542通常执行本发明所描述的实施例中的功能和/或方法。
服务器512也可以与一个或多个外部设备514(例如键盘、指向服务器、显示器524等)通信,还可与一个或者多个使得用户能与该服务器512交互的服务器通信,和/或与使得该服务器512能与一个或多个其它计算服务器进行通信的任何服务器(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口522进行。并且,服务器512还可以通过网络适配器520与一个或者多个网络(例如局域网(Local Area Network,LAN),广域网(Wide Area Network,WAN)和/或公共网络,例如因特网)通信。如图5所示,网络适配器520通过总线518与服务器512的其它模块通信。应当明白,尽管图中未示出,可以结合服务器512使用其它硬件和/或软件模块,包括但不限于:微代码、服务器驱动器、冗余处理器、外部磁盘驱动阵列、磁盘阵列(Redundant Arrays of Independent Disks,RAID)系统、磁带驱动器以及数据备份存储系统等。
处理器516通过运行存储在存储装置528中的程序,从而执行各种功能应用以及数据处理,例如实现本发明任意实施例所提供的应用安全测试组件的调用方法,该方法可以包括:
获取待测试数据流量的关键参数;
将所述关键参数发送至动态代码模块;
所述动态代码模块读取预设配置文件;
根据所述预设配置文件和所述关键参数进行应用安全测试。
实施例六
本发明实施例六还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本发明任意实施例所提供的应用安全测试组件的调用方法,该方法可以包括:
获取待测试数据流量的关键参数;
将所述关键参数发送至动态代码模块;
所述动态代码模块读取预设配置文件;
根据所述预设配置文件和所述关键参数进行应用安全测试。
本发明实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或终端上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种应用安全测试组件的调用方法,其特征在于,包括:
获取待测试数据流量的关键参数;
将所述关键参数发送至动态代码模块;
所述动态代码模块读取预设配置文件;
根据所述预设配置文件和所述关键参数进行应用安全测试。
2.如权利要求1所述的方法,其特征在于,所述预设配置文件包括多个测试组件配置文件,一个所述测试组件配置文件包括:配置策略、执行命令、测试组件名称、漏洞简介、风险描述、修复建议、第一特征码、第二特征码和第三特征码。
3.如权利要求2所述的方法,其特征在于,所述根据所述预设配置文件和所述关键参数进行应用安全测试包括:
判断当前所述测试组件配置文件中的所述配置策略是否为真;
若是,将所述关键参数载入所述执行命令中形成调用命令;
通过所述调用命令和所述测试组件名称调用对应的测试组件进行应用安全测试。
4.如权利要求3所述的方法,其特征在于,所述若是,则通过所述调用命令和所述测试组件名称调用对应的测试组件进行应用安全测试之后,包括:
获取测试结果;
判断所述测试结果中是否包括所述第一特征码;
若包括,则将所述第一特征码对应的漏洞简介、风险描述和修复建议写入数据库。
5.如权利要求4所述的方法,其特征在于,所述获取测试结果之后,还包括:
判断所述测试结果中是否包括所述第二特征码;
若包括,则将测试无异常作为测试结果写入数据库。
6.如权利要求4所述的方法,其特征在于,所述获取测试结果之后,还包括:
判断所述测试结果中是否包括所述第三特征码;
若不包括,则将测试未正常进行作为测试结果写入数据库。
7.如权利要求2所述的方法,其特征在于,所述预设配置文件的建立方法包括:
部署测试组件至服务器;
配置所述测试组件对应的测试组件配置文件;
多个所述测试组件配置文件形成所述预设配置文件。
8.一种应用安全测试组件的调用装置,其特征在于,包括:
关键参数获取模块,用于获取待测试数据流量的关键参数;
关键参数发送模块,用于将所述关键参数发送至动态代码模块;
预设配置文件读取模块,用于所述动态代码模块读取预设配置文件;
应用安全测试模块,用于根据所述预设配置文件和所述关键参数进行应用安全测试。
9.一种服务器,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一项所述的应用安全测试组件的调用方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中任一所述的应用安全测试组件的调用方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910881272.XA CN110597724B (zh) | 2019-09-18 | 2019-09-18 | 应用安全测试组件的调用方法、装置、服务器及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910881272.XA CN110597724B (zh) | 2019-09-18 | 2019-09-18 | 应用安全测试组件的调用方法、装置、服务器及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110597724A true CN110597724A (zh) | 2019-12-20 |
| CN110597724B CN110597724B (zh) | 2023-07-18 |
Family
ID=68860590
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910881272.XA Active CN110597724B (zh) | 2019-09-18 | 2019-09-18 | 应用安全测试组件的调用方法、装置、服务器及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110597724B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117234951A (zh) * | 2023-11-13 | 2023-12-15 | 建信金融科技有限责任公司 | 应用系统的功能测试方法、装置、计算机设备、存储介质 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060195588A1 (en) * | 2005-01-25 | 2006-08-31 | Whitehat Security, Inc. | System for detecting vulnerabilities in web applications using client-side application interfaces |
| CN102082659A (zh) * | 2009-12-01 | 2011-06-01 | 厦门市美亚柏科信息股份有限公司 | 一种面向网络安全评估的漏洞扫描系统及其处理方法 |
| CN102523212A (zh) * | 2011-12-13 | 2012-06-27 | 北京天融信科技有限公司 | 一种可自动调整防火墙系统测试流量的方法和装置 |
| US20130174260A1 (en) * | 2011-12-30 | 2013-07-04 | International Business Machines Corporation | Targeted security testing |
| US20130247128A1 (en) * | 2001-09-21 | 2013-09-19 | Alex J. Hinchliffe | Distribution of security policies for small to medium-sized organizations |
| US20160011951A1 (en) * | 2013-02-28 | 2016-01-14 | International Business Machines Corporation | Techniques for web service black box testing |
| US20170034023A1 (en) * | 2015-07-27 | 2017-02-02 | Datagrid Systems, Inc. | Techniques for evaluating server system reliability, vulnerability and component compatibility using crowdsourced server and vulnerability data |
| CN107145784A (zh) * | 2017-05-04 | 2017-09-08 | 腾讯科技(深圳)有限公司 | 一种漏洞扫描的方法、装置及计算机可读介质 |
| CN108073424A (zh) * | 2016-11-17 | 2018-05-25 | 深圳万兴信息科技股份有限公司 | 组件接口的调用方法及装置 |
| CN108959935A (zh) * | 2018-06-25 | 2018-12-07 | 郑州云海信息技术有限公司 | 一种漏洞插件批量执行方法及装置 |
| CN109040097A (zh) * | 2018-08-23 | 2018-12-18 | 彩讯科技股份有限公司 | 一种跨站脚本攻击的防御方法、装置、设备和存储介质 |
| CN109062572A (zh) * | 2018-08-02 | 2018-12-21 | 深圳乐信软件技术有限公司 | 一种组件调用方法、装置、设备及存储介质 |
| CN109101819A (zh) * | 2017-06-21 | 2018-12-28 | 中兴通讯股份有限公司 | 一种漏洞检测方法及终端、存储介质 |
| CN109726136A (zh) * | 2019-01-28 | 2019-05-07 | 上海达梦数据库有限公司 | 数据库的测试方法、装置、设备和存储介质 |
-
2019
- 2019-09-18 CN CN201910881272.XA patent/CN110597724B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130247128A1 (en) * | 2001-09-21 | 2013-09-19 | Alex J. Hinchliffe | Distribution of security policies for small to medium-sized organizations |
| US20060195588A1 (en) * | 2005-01-25 | 2006-08-31 | Whitehat Security, Inc. | System for detecting vulnerabilities in web applications using client-side application interfaces |
| CN102082659A (zh) * | 2009-12-01 | 2011-06-01 | 厦门市美亚柏科信息股份有限公司 | 一种面向网络安全评估的漏洞扫描系统及其处理方法 |
| CN102523212A (zh) * | 2011-12-13 | 2012-06-27 | 北京天融信科技有限公司 | 一种可自动调整防火墙系统测试流量的方法和装置 |
| US20130174260A1 (en) * | 2011-12-30 | 2013-07-04 | International Business Machines Corporation | Targeted security testing |
| US20160011951A1 (en) * | 2013-02-28 | 2016-01-14 | International Business Machines Corporation | Techniques for web service black box testing |
| US20170034023A1 (en) * | 2015-07-27 | 2017-02-02 | Datagrid Systems, Inc. | Techniques for evaluating server system reliability, vulnerability and component compatibility using crowdsourced server and vulnerability data |
| CN108073424A (zh) * | 2016-11-17 | 2018-05-25 | 深圳万兴信息科技股份有限公司 | 组件接口的调用方法及装置 |
| CN107145784A (zh) * | 2017-05-04 | 2017-09-08 | 腾讯科技(深圳)有限公司 | 一种漏洞扫描的方法、装置及计算机可读介质 |
| CN109101819A (zh) * | 2017-06-21 | 2018-12-28 | 中兴通讯股份有限公司 | 一种漏洞检测方法及终端、存储介质 |
| CN108959935A (zh) * | 2018-06-25 | 2018-12-07 | 郑州云海信息技术有限公司 | 一种漏洞插件批量执行方法及装置 |
| CN109062572A (zh) * | 2018-08-02 | 2018-12-21 | 深圳乐信软件技术有限公司 | 一种组件调用方法、装置、设备及存储介质 |
| CN109040097A (zh) * | 2018-08-23 | 2018-12-18 | 彩讯科技股份有限公司 | 一种跨站脚本攻击的防御方法、装置、设备和存储介质 |
| CN109726136A (zh) * | 2019-01-28 | 2019-05-07 | 上海达梦数据库有限公司 | 数据库的测试方法、装置、设备和存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117234951A (zh) * | 2023-11-13 | 2023-12-15 | 建信金融科技有限责任公司 | 应用系统的功能测试方法、装置、计算机设备、存储介质 |
| CN117234951B (zh) * | 2023-11-13 | 2024-01-30 | 建信金融科技有限责任公司 | 应用系统的功能测试方法、装置、计算机设备、存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110597724B (zh) | 2023-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111416811A (zh) | 越权漏洞检测方法、系统、设备及存储介质 | |
| US20140310560A1 (en) | Method and apparatus for module repair in software | |
| CN110580244A (zh) | 一种文件处理方法、装置、服务器及存储介质 | |
| CN113050984A (zh) | 资源调取方法、装置、电子设备及存储介质 | |
| CN111274130A (zh) | 一种自动化测试方法、装置、设备及存储介质 | |
| CN109818972B (zh) | 一种工业控制系统信息安全管理方法、装置及电子设备 | |
| CN109165372B (zh) | 一种网页加载方法、装置、设备及存储介质 | |
| CN114116078A (zh) | 基于微前端的应用数据处理方法、装置、设备及介质 | |
| CN114449047A (zh) | 一种文件数据的处理方法和装置 | |
| CN110597724B (zh) | 应用安全测试组件的调用方法、装置、服务器及存储介质 | |
| CN111367813B (zh) | 决策引擎自动化测试方法、装置、服务器及存储介质 | |
| CN110674050B (zh) | 内存越界检测方法、装置、电子设备及计算机存储介质 | |
| CN113839912B (zh) | 主被动结合进行异常主机分析的方法、装置、介质和设备 | |
| CN114385471A (zh) | 页面白屏检测方法、装置、设备及存储介质 | |
| CN111563008A (zh) | 数据存储方法、装置、存储系统及计算机可读存储介质 | |
| CN111124423A (zh) | 一种基于多平台的编译检测方法、装置、服务器及介质 | |
| CN113760631A (zh) | 页面加载时长确定方法、装置、设备和存储介质 | |
| CN110602162B (zh) | 终端取证方法、装置、设备和存储介质 | |
| CN111240928B (zh) | 设备驱动自动化检测方法、装置、设备及存储介质 | |
| CN112068814A (zh) | 可执行文件的生成方法、装置、系统及介质 | |
| US20240104085A1 (en) | Computer system and method for evaluating integrity and parsing of a file system and parsing implementation | |
| CN111309311B (zh) | 一种漏洞检测工具生成方法、装置、设备及可读存储介质 | |
| CN110764792B (zh) | 一种应用程序的安装方法、装置、设备及存储介质 | |
| CN112565271B (zh) | Web攻击检测方法和装置 | |
| CN115237816B (zh) | 系统功能验证方法、装置、电子设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |