CN111427767A - 应用系统的攻击测试方法、装置、计算机设备和存储介质 - Google Patents
应用系统的攻击测试方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN111427767A CN111427767A CN202010120138.0A CN202010120138A CN111427767A CN 111427767 A CN111427767 A CN 111427767A CN 202010120138 A CN202010120138 A CN 202010120138A CN 111427767 A CN111427767 A CN 111427767A
- Authority
- CN
- China
- Prior art keywords
- attack
- application system
- attacked
- server
- signature verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012360 testing method Methods 0.000 title claims abstract description 72
- 238000012795 verification Methods 0.000 claims abstract description 101
- 238000000034 method Methods 0.000 claims abstract description 73
- 230000006399 behavior Effects 0.000 claims abstract description 43
- 230000008569 process Effects 0.000 claims description 43
- 238000012545 processing Methods 0.000 claims description 30
- 230000009471 action Effects 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 13
- 238000011156 evaluation Methods 0.000 claims description 13
- 238000012544 monitoring process Methods 0.000 claims description 10
- 239000000284 extract Substances 0.000 claims description 5
- 238000012217 deletion Methods 0.000 claims description 3
- 230000037430 deletion Effects 0.000 claims description 3
- 230000009191 jumping Effects 0.000 claims description 3
- 230000002159 abnormal effect Effects 0.000 abstract description 18
- 238000005553 drilling Methods 0.000 abstract description 6
- 230000006870 function Effects 0.000 description 24
- 230000005856 abnormality Effects 0.000 description 6
- 230000002411 adverse Effects 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000011056 performance test Methods 0.000 description 1
- 238000011076 safety test Methods 0.000 description 1
- 238000009781 safety test method Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3604—Software analysis for verifying properties of programs
- G06F11/3612—Software analysis for verifying properties of programs by runtime analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Quality & Reliability (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请揭示了一种应用系统的攻击测试方法、装置、计算机设备和存储介质,其中方法包括:当接收到用户在管理界面内输入的instance信息时,根据instance信息生成与待攻击应用系统对应的第一Access Key Id与第一SecretKey;启动待攻击应用系统,以及与待攻击应用系统对应的指定服务器;接收用户从预存储的所有攻击类型中选择的指定攻击类型,以及输入的攻击数据;向指定服务器发送攻击请求url;接收指定服务器返回的验签结果,并判断验签结果是否为验签通过;若是,控制指定服务器根据攻击请求url,对待攻击应用系统实施对应的攻击行为。本申请可以根据用户的攻击测试需求,来为待攻击应用系统构造指定类型的异常测试场景以进行故障异常演练,进而完成正式上线前的异常验证。
Description
技术领域
本申请涉及计算机技术领域,具体涉及一种应用系统的攻击测试方法、装置、计算机设备和存储介质。
背景技术
随着科技的快速发展,应用系统安全已经成为业界普遍关注的热点,当前在应用系统产品上线前,一般需要对应用系统进行安全测试。现有的对于应用系统的安全测试方法通常是测试人员对应用系统进行接口测试、功能测试以及性能测试,但是现有的这些简单的安全测试对于应用系统而言是不足够的,无法保证应用系统在实际使用过程中能够应对生产环境中出现的各种不可预测的异常,例如宕机、网络异常、组件不可用等异常,进而容易导致应用系统在实际使用过程中出现服务异常,影响用户使用应用系统产品时的使用体验。因而,目前对于应用系统还没有一种安全测试方法,在应用系统应对生产环境中出现的某些特定异常时,来检测应用系统是否能够稳定的提供安全可靠的服务。
发明内容
本申请的主要目的为提供一种应用系统的攻击测试方法、装置、计算机设备和存储介质,旨在解决目前还没有一种针对于应用系统的安全测试方法,在应用系统应对生产环境中出现的某些特定异常时,来检测应用系统是否能够稳定的提供安全可靠的服务的技术问题。
本申请提出一种应用系统的攻击测试方法,所述方法包括步骤:
当接收到用户在管理界面内输入的与待攻击系统对应的instance信息时,根据所述instance信息生成与所述待攻击应用系统对应的第一Access Key Id与第一SecretKey,其中,所述instance信息至少包括所述待攻击应用系统的名称;
启动所述待攻击应用系统,以及与所述待攻击应用系统对应的指定服务器,以使所述待攻击应用系统进入等待攻击的启动状态,以及所述指定服务器进入请求监听工作状态;
接收所述用户从预存储的所有攻击类型中选择的指定攻击类型,以及输入的与所述指定攻击类型对应的攻击数据;
向所述指定服务器发送攻击请求url,通过所述指定服务器对所述攻击请求url进行验签处理,并生成对应的验签结果,其中,所述攻击请求url至少携带所述指定攻击类型、所述攻击数据、所述第一Access Key Id与第一SecretKey;
接收所述指定服务器返回的所述验签结果,并判断所述验签结果是否为验签通过;
若所述验签结果为验签通过,控制所述指定服务器根据所述攻击请求url,对所述待攻击应用系统实施对应的攻击行为。
可选地,所述instance信息还包括所述待攻击应用系统的实例名称、IP地址与端口信息,所述当接收到用户在管理界面内输入的与待攻击系统对应的instance信息时,根据所述instance信息生成与所述待攻击应用系统对应的第一Access Key Id与第一SecretKey的步骤之前,包括:
判断是否接收到所述用户在登录界面上输入的登录信息;
若接收到所述登录信息,根据所述登录信息,判断所述用户是否具备登录权限;
若具备登录权限,从所述登录界面跳转至所述管理界面。
可选地,所述攻击类型至少包括抛出异常、超时等待、终止进程,所述攻击数据至少包括攻击等级与攻击参数,所述向所述指定服务器发送攻击请求url,通过所述指定服务器对所述攻击请求url进行验签处理,并生成对应的验签结果的步骤之前,包括:
通过加密算法对所述第一Access Key Id与所述第一SecretKey进行加密处理,得到对应的加密密文;
将所述加密密文存储于所述指定服务器内的启动jar包所在的指定路径下;所述向所述指定服务器发送攻击请求url,以通过所述指定服务器对所述攻击请求url进行验签处理,并生成对应的验签结果的步骤,包括:
向所述指定服务器发送攻击请求url,以使得所述指定服务器在接收到所述攻击请求url后,从所述指定路径提取出所述加密密文,并根据所述加密密文对所述攻击请求url进行验签处理,生成所述验签结果。
可选地,所述向所述指定服务器发送攻击请求url,以通过所述指定服务器对所述攻击请求url进行验签处理,并生成对应的验签结果的步骤的步骤之前,包括:
判断所述待攻击应用系统当前是否存在待处理业务请求,其中,所述待处理业务请求的数量为一个或多个;
若是,对所述待处理业务请求进行拷贝,得到与所述待处理业务请求对应的业务请求副本;
存储所述业务请求副本,并在所述业务请求副本存储完成后,向所述待攻击应用系统发送请求删除指令,以控制所述待攻击应用系统删除所述待处理业务请求。
可选地,所述接收所述指定服务器返回的所述验签结果,并判断所述验签结果是否为验签通过的步骤之后,包括:
若所述验签结果为验签不通过,禁止所述指定服务器响应所述攻击请求url,以限制所述指定服务器对所述待攻击应用系统实施对应的攻击行为;
在当前界面生成所述攻击请求url不合法的提醒信息。
可选地,所述控制所述指定服务器根据所述攻击请求url,对所述待攻击应用系统实施对应的攻击行为的步骤之后,包括:
向所述指定服务器发送记录指令,以通过所述指定服务器根据所述记录指令,记录所述待攻击应用系统在被实施所述攻击行为后的实时系统属性数据,其中,所述实时系统属性数据包括:CPU、内存、进程、磁盘、网络行为、数据库行为、全局变量以及应用程序编程接口调用所分别对应的数据;
接收所述指定服务器返回的所述实时系统属性数据;
在当前界面展示所述实时系统属性数据。
可选地,所述在当前界面展示所述实时系统属性数据的步骤之后,包括:
对所述实时系统属性数据进行分析,得到所述待攻击应用系统被实施所述攻击行为后存在的安全漏洞;
根据所述安全漏洞,生成与所述安全漏洞对应的安全威胁评测报告;
展示所述安全威胁评测报告。
本申请还提供一种应用系统的攻击测试装置,包括:
第一生成模块,用于当接收到用户在管理界面内输入的与待攻击系统对应的instance信息时,根据所述instance信息生成与所述待攻击应用系统对应的第一AccessKey Id与第一SecretKey,其中,所述instance信息至少包括所述待攻击应用系统的名称;
启动模块,用于启动所述待攻击应用系统,以及与所述待攻击应用系统对应的指定服务器,以便所述待攻击应用系统进入等待攻击的启动状态,以及所述指定服务器进入请求监听工作状态;
第一接收模块,用于接收所述用户从预存储的所有攻击类型中选择的指定攻击类型,以及输入的与所述指定攻击类型对应的攻击数据;
第一发送模块,用于向所述指定服务器发送攻击请求url,通过所述指定服务器对所述攻击请求url进行验签处理,并生成对应的验签结果,其中,所述攻击请求url至少携带所述指定攻击类型、所述攻击数据、所述第一Access Key Id与第一SecretKey;
第一判断模块,用于接收所述指定服务器返回的所述验签结果,并判断所述验签结果是否为验签通过;
攻击模块,用于若是,控制所述指定服务器根据所述攻击请求url,对所述待攻击应用系统实施对应的攻击行为。
本申请还提供一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时实现上述方法的步骤。
本申请还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法的步骤。
本申请中提供的应用系统的攻击测试方法、装置、计算机设备和存储介质,具有以下有益效果:
本申请中提供的应用系统的攻击测试方法、装置、计算机设备和存储介质,当用户具有对应用系统执行攻击测试的需求时,可以从管理界面中输入对应的instance信息,来自主选择需要进行攻击测试的待攻击应用系统。在接收到该instance信息后,便会启动待攻击应用系统,以及与待攻击应用系统对应的指定服务器。另外,本申请预先创建有与应用系统对应的多个攻击类型,用户可以从所有的攻击类型选择需要对待攻击应用系统执行的指定攻击类型,以根据用户的需求来为待攻击应用系统注入对应的特定异常。当接收到用户从该攻击类型中选择的指定攻击类型以及输入的攻击数据后,便会向指定服务器发送包含上述指定攻击类型与攻击数据的攻击请求url,以通过指定服务器对攻击请求url进行验签处理。如果经过验签处理后的验签结果为验签通过,则判定上述攻击请求url是合法的,并会控制指定服务器根据该攻击请求url,来对待攻击应用系统实施对应的攻击行为,以实现对于待攻击应用系统的攻击测试,即为应用系统模拟出指定类型的异常测试场景以进行故障异常演练。通过本申请可以根据用户的攻击测试需求,来为应用系统模拟出指定类型的异常测试场景并进行故障异常演练,有效的实现了对于应用系统在正式上线前的异常验证,进而使得潜在的故障能够尽早发现,避免用户和应用系统出现重大的损失。另外,对于被实施攻击行为的应用系统不会涉及代码修改/调整,也不会对应用系统已有的业务功能的使用造成不良影响。
附图说明
图1是本申请一实施例的应用系统的攻击测试方法的流程示意图;
图2是本申请一实施例的应用系统的攻击测试装置的结构示意图;
图3是本申请一实施例的计算机设备的结构示意图。
本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用于解释本申请,并不用于限定本申请。
需要说明,本申请实施例中所有方向性指示(诸如上、下、左、右、前、后……)仅用于解释在某一特定姿态(如附图所示)下各部件之间的相对位置关系、运动情况等,如果该特定姿态发生改变时,则该方向性指示也相应地随之改变,所述的连接可以是直接连接,也可以是间接连接。
参照图1,本申请一实施例的应用系统的攻击测试方法,包括:
S1:当接收到用户在管理界面内输入的与待攻击系统对应的instance信息时,根据所述instance信息生成与所述待攻击应用系统对应的第一Access Key Id与第一SecretKey,其中,所述instance信息至少包括所述待攻击应用系统的名称;
S2:启动所述待攻击应用系统,以及与所述待攻击应用系统对应的指定服务器,以使所述待攻击应用系统进入等待攻击的启动状态,以及所述指定服务器进入请求监听工作状态;
S3:接收所述用户从预存储的所有攻击类型中选择的指定攻击类型,以及输入的与所述指定攻击类型对应的攻击数据;
S4:向所述指定服务器发送攻击请求url,通过所述指定服务器对所述攻击请求url进行验签处理,并生成对应的验签结果,其中,所述攻击请求url至少携带所述指定攻击类型、所述攻击数据、所述第一Access Key Id与第一SecretKey;
S5:接收所述指定服务器返回的所述验签结果,并判断所述验签结果是否为验签通过;
S6:若所述验签结果为验签通过,控制所述指定服务器根据所述攻击请求url,对所述待攻击应用系统实施对应的攻击行为。
如上述步骤S1至S6所述,本发明实施例的执行主体为一种应用系统的攻击测试装置,具体可以具有对于待攻击应用系统的管理功能的管理平台,例如可为EAP-ADMIN管理平台。上述待攻击应用系统为需要验证服务可靠性的应用系统,其中,上述应用系统一般由计算机硬件系统、系统软件、应用软件组成,计算机基本硬件系统由运算器和控制器、存储器、外围接口和外围设备组;系统软件包括操作系统、编译程序、数据库管理系统、各种高级语言等;应用软件由通用支援软件和各种应用软件包组成。以上述管理平台为例对以下实施例进行阐述,通过该管理平台可实现对待攻击应用系统的攻击测试。具体地,首先判断是否接收到用户在管理界面内输入的instance信息,其中,上述instance信息至少包括待攻击应用系统的名称,还可包括待攻击应用系统的实例名称、IP地址、端口信息,等等。当接收到上述instance信息时,管理平台会根据上述instance信息来生成与上述待攻击应用系统对应的第一Access Key Id与第一SecretKey,其中,管理平台可对上述instance信息进行随机拼装,来生成该第一Access Key Id与第一SecretKey,举例地,可采用待攻击应用系统的名称、实例名称、IP地址、端口信息的顺序依次进行拼装,或者可采用待攻击应用系统的名称、端口信息、IP地址、实例名称的顺序依次进行拼装,等等。另外,上述第一Access Key Id与第一SecretKey是一种安全的访问机制,两者为一对一的关系。在生成上述第一AccessKey Id与第一SecretKey后,再同时启动上述待攻击应用系统,以及与上述待攻击应用系统对应的指定服务器,以使得待攻击应用系统进入等待攻击的启动状态,以及指定服务器进入请求监听工作状态;其中,上述指定服务器为用于向待攻击应用系统发出攻击行为的stub函数所在的服务器,上述stub函数称为桩函数或者存根函数,可通过使用一个桩函数(存根函数)替换一些接口函数,来对当前函数的特性进行测试。另外,可通过java–cp的方式同时启动被攻击应用系统和指定服务器,即先将指定服务器的jar包拷贝至上述待攻击应用系统的启动jar包所在的路径下,然后实现对于两者的同时启动,从而使得指定服务器与待攻击应用系统两者之间会共享一个JVM容器,进而能够获取到对端的上下文环境数据。在完成了待攻击应用系统与指定服务器的同时启动后,会接收到用户从预存储的所有攻击类型中选择的指定攻击类型,以及输入的与上述指定攻击类型对应的攻击数据,其中,上述攻击类型包括抛出异常、超时等待、终止进程;上述攻击数据至少包括攻击等级与攻击参数,还可包括上述上下文环境数据。然后,向指定服务器发送至少携带上述指定攻击类型、上述攻击数据、上述第一Access Key Id与第一SecretKey的攻击请求url(uniformresource locator的简称,即统一资源定位符),以通过指定服务器根据对上述攻击请求url进行验签处理;其中,指定服务器对攻击请求url进行验签处理的方式可包括多种,例如,可包括通过正则表达式验证该攻击请求url的合法性;或者验证该攻击请求url的签名是否正确;或者根据预存储的加密密文对上述第一Access Key Id与第一SecretKey进行校验,上述加密密文根据第一Access Key Id与第一SecretKey生成。如果指定服务器在进行验签处理后,向管理平台返回的验签结果为验签通过时,则管理平台会控制上述指定服务器根据上述攻击请求url,对上述待攻击应用系统实施对应的攻击行为,以实现根据用户的需求对待攻击应用系统进行攻击模拟。通过本实施例可以根据用户的攻击测试需求,来为待攻击应用系统构造指定类型的异常测试场景并进行故障异常演练,以有效的实现对于应用系统在正式上线前的异常验证,进而使得潜在的故障能够尽早发现,避免用户和应用系统出现重大的损失。另外,对于被实施攻击行为的应用系统不会涉及代码修改/调整,也不会对应用系统已有的业务功能的使用造成不良影响。
进一步地,本申请一实施例中,所述instance信息还包括所述待攻击应用系统的实例名称、IP地址与端口信息,上述步骤S1之前,包括:
S100:判断是否接收到所述用户在登录界面上输入的登录信息;
S101:若接收到所述登录信息,根据所述登录信息,判断所述用户是否具备登录权限;
S102:若具备登录权限,从所述登录界面跳转至所述管理界面。
如上述步骤S100至S102所述,上述instance信息还包括上述待攻击应用系统的实例名称、IP地址与端口信息,在进行判断是否接收到用户在管理界面内输入的instance信息的判断过程之前,还需要判断用户是否具备使用管理平台的权限,以避免管理平台对于待攻击应用系统的攻击测试功能被不法分子使用而造成损害。具体地,首先判断是否接收到用户在管理平台的登录界面上输入的登录信息,其中,上述登录信息至少包括用户账户与用户密码,还可以包括登录验证码等。如果接收到该登录信息,则根据上述登录信息,判断上述用户是否具备对于管理平台的登录权限。具体地,判断上述用户是否具备登录权限的方式可为判断用户输入的用户账号与用户密码等信息是否正确。如果用户输入的登录信息正确,表明该用户具备登录权限,则管理平台会从登录界面跳转至上述管理界面,从而后续用户可以通过操作管理平台的管理界面来实现与指定服务器、待攻击应用系统的互动。本实施例在接收到用户输入的登录信息后,会智能的判断该用户是否具备对于管理平台的登录权限,只有在用户具备登录权限时才会从登录界面跳转至管理界面,有效的避免出现不法分子尝试登录管理平台,而导致管理平台出现不良后果的情况,有效的保证了管理平台的使用安全性。在另一个实施例中,如果用户不具备登录权限,则不会进入成功登录状态,并会在当前页面生成不具备对于管理平台的登录权限的提醒信息,或者生成请重新输入正确的登录信息的提醒信息。
进一步地,本申请一实施例中,上述攻击类型至少包括抛出异常、超时等待、终止进程,上述攻击数据至少包括攻击等级与攻击参数,上述步骤S4之前,包括:
S400:通过加密算法对所述第一Access Key Id与所述第一SecretKey进行加密处理,得到对应的加密密文;
S401:将所述加密密文存储于所述指定服务器内的启动jar包所在的指定路径下;
上述步骤S4,包括:
S402:向所述指定服务器发送攻击请求url,以使得所述指定服务器在接收到所述攻击请求url后,从所述指定路径提取出所述加密密文,并根据所述加密密文对所述攻击请求url进行验签处理,生成所述验签结果。
如上述步骤S400至S402所述,上述攻击类型至少包括抛出异常、超时等待、终止进程,上述攻击数据至少包括攻击等级与攻击参数,在向指定服务器发送攻击请求url,以通过指定服务器对攻击请求url进行验签处理,并生成对应的验签结果的步骤之前,还包括对上述第一Access Key Id与第一SecretKey进行加密处理的过程。具体地,首先通过加密算法对上述第一Access Key Id与上述第一SecretKey进行加密处理,得到对应的加密密文;其中,上述的加密处理可包括对称处理或者非对称处理,上述加密算法可包括对称加密算法,例如DES、IDEA和AES,还可包括非对称加密算法,RSA算法和DSA算法。在得到了加密密文后,再将上述加密密文存储于指定服务器内的启动jar包所在的指定路径下,以实现对于第一Access Key Id与第一SecretKey的安全存储。进一步地,在完成了将加密密文存储于上述指定路径后,上述向指定服务器发送攻击请求url,以通过指定服务器对攻击请求url进行验签处理,并生成对应的验签结果的步骤可包括:向指定服务器发送攻击请求url,以使得指定服务器在接收到上述攻击请求url后,从上述指定路径提取出上述加密密文,并根据该加密密文对上述攻击请求url进行验签处理,生成所述验签结果。具体地,在接收到上述攻击请求url后,指定服务器会对该加密密文进行解密处理,得到第二Access Key Id与第二SecretKey,然后将该第二Access Key Id与第二SecretKey分别与攻击请求url中携带的第一Access Key Id与第一SecretKey进行比对,只有当第二Access Key Id与第二SecretKey,分别与攻击请求url中携带的第一Access Key Id与第一SecretKey均一一相同,才表示验签通过,即生成的验签结果为验签通过。而如果存在第一Access Key Id与第二Access Key Id不相同,或者第一SecretKey与第二SecretKey不相同的情况,则表示验签不通过,即生成的验签结果为验签不通过。本实施例通过将对第一Access Key Id与第一SecretKey进行加密处理后的得到的加密密文存储于指定服务器内,有利于后续指定服务器能够根据该加密密文来对接收到的攻击请求url进行验签处理,进而可以根据得到的验签结果来决定是否需要对待攻击应用系统实施攻击行为,保证了对于待攻击应用系统的攻击测试的准确性。
进一步地,本申请一实施例中,上述步骤S4之前,包括:
S410:判断所述待攻击应用系统当前是否存在待处理业务请求,其中,所述待处理业务请求的数量为一个或多个;
S411:若是,对所述待处理业务请求进行拷贝,得到与所述待处理业务请求对应的业务请求副本;
S412:存储所述业务请求副本,并在所述业务请求副本存储完成后,向所述待攻击应用系统发送请求删除指令,以控制所述待攻击应用系统删除所述待处理业务请求。
如上述步骤S410至S412所述,在控制指定服务器根据攻击请求url,对上述待攻击应用系统实施对应的攻击行为的过程之前,还可能出现待攻击应用系统当前存在着一些业务请求,但还未对该业务请求进行处理的情况,则管理平台会预先对该业务请求进行存储处理,继而再对待攻击应用系统实施攻击行为,以避免该业务请求对后续进行的攻击行为造成影响。具体地,首先判断上述待攻击应用系统当前是否存在待处理业务请求,其中,上述待处理业务请求的数量为一个或多个。如果存在待处理业务请求,则对上述待处理业务请求进行拷贝,得到与上述待处理业务请求对应的业务请求副本,其中,上述业务请求副本为与上述待处理业务请求完全相同的数据。在得到上述业务请求副本后,管理平台会对该业务请求副本进行存储。并在上述业务请求副本存储完成后,向上述待攻击应用系统发送请求删除指令,以控制上述待攻击应用系统删除上述待处理业务请求。其中,对上述业务请求副本的存储位置不作具体限定,例如可在管理平台中创建一个数据库来存储该业务请求,或者将该业务请求存储于管理平台中已存在的某些可用空间容量较大的文件夹内。本实施例在待攻击应用系统当前存在待处理业务请求时,会先生成也待处理业务请求对应的业务请求副本并存储于内部,之后再将待攻击应用系统内的待处理业务请求删除掉,从而有效避免出现上述待处理业务请求在待攻击应用系统被实施攻击行为的过程中丢失的情况,有利于防止该待处理业务请求会对后续的对待攻击应用系统实施攻击行为造成影响,保障了攻击测试的正常实施。进一步地,在对上述待处理业务请求进行拷贝得到对应的业务请求副本后,管理平台还会对该业务请求副本进行存储,使得后续在完成了对于待攻击应用系统的模拟攻击测试后,能够重新提取出该业务请求副本并发送给待攻击应用系统,以使得待攻击应用系统能够继续完成对于上述待处理业务请求的处理,有效的保证了待攻击应用系统的业务流程的完整运行。
进一步地,本申请一实施例中,上述步骤S5之后,包括:
S500:若所述验签结果为验签不通过,禁止所述指定服务器响应所述攻击请求url,以限制所述指定服务器对所述待攻击应用系统实施对应的攻击行为;
S501:在当前界面生成所述攻击请求url不合法的提醒信息。
如上述步骤S500至S501所述,在判断上述验签结果是否为验签通过的判断过程中,还可能出现该验签结果为验签不通过的情况,则此时管理平台会控制指定服务器不对待攻击应用系统实施攻击行为。具体地,如果验签结果不为验签通过,即验签结果为验签不通过,表明上述攻击请求url为不合法的请求,管理平台会禁止上述指定服务器响应上述攻击请求url,以限制上述指定服务器对上述待攻击应用系统实施对应的攻击行为。并且,还会在当前页面生成上述攻击请求url不合法的提醒信息,以提醒用户当前的攻击请求url是不合法的。本实施例在指定服务器返回的验签结果为验签不通过时,会禁止指定服务器响应攻击请求url,从而指定服务器不会对待攻击应用系统实施攻击行为,有效的避免出现任意构造攻击指令的请求url都能被管理平台响应的情况,以及避免了由于不合法的攻击请求url而导致待攻击应用系统产生不良影响,保证了待攻击应用系统的使用安全。
进一步地,本申请一实施例中,上述步骤S6之后,包括:
S600:向所述指定服务器发送记录指令,以通过所述指定服务器根据所述记录指令,记录所述待攻击应用系统在被实施所述攻击行为后的实时系统属性数据,其中,所述实时系统属性数据包括:CPU、内存、进程、磁盘、网络行为、数据库行为、全局变量以及应用程序编程接口调用所分别对应的数据;
S601:接收所述指定服务器返回的所述实时系统属性数据;
S602:在当前界面展示所述实时系统属性数据。
如上述步骤S600至S602所述,在控制指定服务器根据上述攻击请求url,对待攻击应用系统实施对应的攻击行为的步骤之后,管理平台还可以进一步对待攻击应用系统在被模拟攻击的过程中生成的实时系统属性数据进行监控处理。具体地,首先向上述指定服务器发送记录指令,以通过上述指定服务器根据该记录指令,来记录上述待攻击应用系统在被实施上述攻击行为后,即在被攻击的过程中生成的实时系统属性数据,其中,上述实时系统属性数据包括:CPU、内存、进程、磁盘、网络行为、数据库行为、全局变量以及应用程序编程接口调用所分别对应的数据。然后,接收上述指定服务器返回的实时系统属性数据,并在当前界面对上述实时系统属性数据进行展示。其中,对上述实时系统属性数据进行展示的方式不作具体限定,例如可通过文字的形式在当前页面进行展示,或者可以通过图案或图表的形式在当前页面进行展示,等等。本实施例通过在采集待攻击应用系统在被实施上述攻击行为后的实时系统属性数据,并将该实时系统属性数据展示在当前界面,有利于用户能够实时了解到待攻击应用系统在被实施上述攻击行为后的运行情况,以及及时检查出待攻击应用系统当前的异常问题、配置问题和安全问题,并且后续可根据待攻击系统当前实际的运行情况来整理出快速恢复的解决方案。
本申请一实施例中,上述步骤S602之后,包括:
S603:对所述实时系统属性数据进行分析,得到所述待攻击应用系统被实施所述攻击行为后存在的安全漏洞;
S604:根据所述安全漏洞,生成与所述安全漏洞对应的安全威胁评测报告;
S605:展示所述安全威胁评测报告。
如上述步骤S603至S605所述,在接收到指定服务器返回的实时系统属性数据后,管理平台还可进一步对该实时系统属性数据进行分析处理,来生成对应的安全威胁评测报告。具体地,首先对上述实时系统属性数据进行分析,得到上述待攻击应用系统被实施上述攻击行为后存在的安全漏洞;其中,管理平台通过对实时系统属性数据进行异常分析,可以得到实时系统属性数据中存在异常的异常数据,进而得到上述安全漏洞产生的根源。然后根据上述安全漏洞,来生成包含该安全漏洞对应的安全威胁评测报告。并在得到了上述安全威胁评测报告后,向用户展示该安全威胁评测报告。其中,对于展示安全威胁评测报告的展示方式不作具体限定,例如可通过文字的形式在当前界面进行展示,或者通过语音的形式直接为用户播报该安全威胁评测报告,等等。本实施例通过对待攻击应用系统被实施攻击行为后生成的系统属性数据进行分析,来生成对应的安全威胁评测报告并进行展示,使得在执行攻击处理后,能够检查待攻击应用系统出现的异常数据、配置问题以及安全问题,从而模拟出来的异常情况能发生用户的密切监督下。因此,运营人员能够具备充分的时间来准备针对主要的非预期异常进行灾备恢复,讨论应急预案,有的避免出现待攻击应用系统在出现了类似的事故后束手无策的情况。
参照图2,本申请一实施例中还提供了一种应用系统的攻击测试装置,包括:
第一生成模块1,用于当接收到用户在管理界面内输入的与待攻击系统对应的instance信息时,根据所述instance信息生成与所述待攻击应用系统对应的第一AccessKey Id与第一SecretKey,其中,所述instance信息至少包括所述待攻击应用系统的名称;
启动模块2,用于启动所述待攻击应用系统,以及与所述待攻击应用系统对应的指定服务器,以便所述待攻击应用系统进入等待攻击的启动状态,以及所述指定服务器进入请求监听工作状态;
第一接收模块3,用于接收所述用户从预存储的所有攻击类型中选择的指定攻击类型,以及输入的与所述指定攻击类型对应的攻击数据;
第一发送模块4,用于向所述指定服务器发送攻击请求url,通过所述指定服务器对所述攻击请求url进行验签处理,并生成对应的验签结果,其中,所述攻击请求url至少携带所述指定攻击类型、所述攻击数据、所述第一Access Key Id与第一SecretKey;
第一判断模块5,用于接收所述指定服务器返回的所述验签结果,并判断所述验签结果是否为验签通过;
攻击模块6,用于若是,控制所述指定服务器根据所述攻击请求url,对所述待攻击应用系统实施对应的攻击行为。
本实施例中,上述应用系统的攻击测试装置中的生成模块、启动模块、第一接收模块、第一发送模块、第一判断模块与攻击模块的功能和作用的实现过程具体详见上述应用系统的攻击测试方法中对应步骤S1至S6的实现过程,在此不再赘述。
进一步地,本申请一实施例中,上述instance信息还包括上述待攻击应用系统的实例名称、IP地址与端口信息,上述应用系统的攻击测试装置,包括:
第二判断模块,用于判断是否接收到所述用户在登录界面上输入的登录信息;
第三判断模块,用于若接收到所述登录信息,根据所述登录信息,判断所述用户是否具备登录权限;
跳转模块,用于若具备登录权限,从所述登录界面跳转至所述管理界面。
本实施例中,上述应用系统的攻击测试装置中的第二判断模块、第三判断模块与跳转模块的功能和作用的实现过程具体详见上述应用系统的攻击测试方法中对应步骤S100至S102的实现过程,在此不再赘述。
进一步地,本申请一实施例中,上述攻击类型至少包括抛出异常、超时等待、终止进程,上述攻击数据至少包括攻击等级与攻击参数,上述应用系统的攻击测试装置,包括:
加密模块,用于通过加密算法对所述第一Access Key Id与所述第一SecretKey进行加密处理,得到对应的加密密文;
第一存储模块,用于将所述加密密文存储于所述指定服务器内的启动jar包所在的指定路径下;
上述第一发送模块,包括:
发送单元,用于向所述指定服务器发送攻击请求url,以使得所述指定服务器在接收到所述攻击请求url后,从所述指定路径提取出所述加密密文,并根据所述加密密文对所述攻击请求url进行验签处理,生成所述验签结果。
本实施例中,上述应用系统的攻击测试装置中的加密模块、第一存储模块与发送单元的功能和作用的实现过程具体详见上述应用系统的攻击测试方法中对应步骤S400至S402的实现过程,在此不再赘述。
进一步地,本申请一实施例中,上述应用系统的攻击测试装置,包括:
第四判断模块,用于判断所述待攻击应用系统当前是否存在待处理业务请求,其中,所述待处理业务请求的数量为一个或多个;
拷贝模块,用于若是,对所述待处理业务请求进行拷贝,得到与所述待处理业务请求对应的业务请求副本;
第二存储模块,用于存储所述业务请求副本,并在所述业务请求副本存储完成后,向所述待攻击应用系统发送请求删除指令,以控制所述待攻击应用系统删除所述待处理业务请求。
本实施例中,上述应用系统的攻击测试装置中的第四判断模块、拷贝模块与第二存储模块的功能和作用的实现过程具体详见上述应用系统的攻击测试方法中对应步骤S410至S412的实现过程,在此不再赘述。
进一步地,本申请一实施例中,上述应用系统的攻击测试装置,包括:
限制模块,用于若所述验签结果为验签不通过,禁止所述指定服务器响应所述攻击请求url,以限制所述指定服务器对所述待攻击应用系统实施对应的攻击行为;
第二生成模块,用于在当前界面生成所述攻击请求url不合法的提醒信息。
本实施例中,上述应用系统的攻击测试装置中的限制模块与第二生成模块的功能和作用的实现过程具体详见上述应用系统的攻击测试方法中对应步骤S500至S501的实现过程,在此不再赘述。
进一步地,本申请一实施例中,上述应用系统的攻击测试装置,包括:
第二发送模块,用于向所述指定服务器发送记录指令,以通过所述指定服务器根据所述记录指令,记录所述待攻击应用系统在被实施所述攻击行为后的实时系统属性数据,其中,所述实时系统属性数据包括:CPU、内存、进程、磁盘、网络行为、数据库行为、全局变量以及应用程序编程接口调用所分别对应的数据;
第二接收模块,用于接收所述指定服务器返回的所述实时系统属性数据;
第一展示模块,用于在当前界面展示所述实时系统属性数据。
本实施例中,上述应用系统的攻击测试装置中的第二发送模块、第二接收模块与第一展示模块的功能和作用的实现过程具体详见上述应用系统的攻击测试方法中对应步骤S600至S602的实现过程,在此不再赘述。
进一步地,本申请一实施例中,上述应用系统的攻击测试装置,还包括:
分析模块,用于对所述实时系统属性数据进行分析,得到所述待攻击应用系统被实施所述攻击行为后存在的安全漏洞;
第三生成模块,用于根据所述安全漏洞,生成与所述安全漏洞对应的安全威胁评测报告;
第二展示模块,用于展示所述安全威胁评测报告。
本实施例中,上述应用系统的攻击测试装置中的分析模块、第三生成模块与第二展示模块的功能和作用的实现过程具体详见上述应用系统的攻击测试方法中对应步骤S603至S605的实现过程,在此不再赘述。
参照图3,本申请实施例中还提供一种计算机设备,该计算机设备可以是服务器,其内部结构可以如图3所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备设计的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储instance信息以及验签结果等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种应用系统的攻击测试方法。
上述处理器执行上述应用系统的攻击测试方法的步骤:
当接收到用户在管理界面内输入的与待攻击系统对应的instance信息时,根据所述instance信息生成与所述待攻击应用系统对应的第一Access Key Id与第一SecretKey,其中,所述instance信息至少包括所述待攻击应用系统的名称;
启动所述待攻击应用系统,以及与所述待攻击应用系统对应的指定服务器,以使所述待攻击应用系统进入等待攻击的启动状态,以及所述指定服务器进入请求监听工作状态;
接收所述用户从预存储的所有攻击类型中选择的指定攻击类型,以及输入的与所述指定攻击类型对应的攻击数据;
向所述指定服务器发送攻击请求url,通过所述指定服务器对所述攻击请求url进行验签处理,并生成对应的验签结果,其中,所述攻击请求url至少携带所述指定攻击类型、所述攻击数据、所述第一Access Key Id与第一SecretKey;
接收所述指定服务器返回的所述验签结果,并判断所述验签结果是否为验签通过;
若所述验签结果为验签通过,控制所述指定服务器根据所述攻击请求url,对所述待攻击应用系统实施对应的攻击行为。
本领域技术人员可以理解,图3中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的装置、计算机设备的限定。
本申请一实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现一种应用系统的攻击测试方法,具体为:
当接收到用户在管理界面内输入的与待攻击系统对应的instance信息时,根据所述instance信息生成与所述待攻击应用系统对应的第一Access Key Id与第一SecretKey,其中,所述instance信息至少包括所述待攻击应用系统的名称;
启动所述待攻击应用系统,以及与所述待攻击应用系统对应的指定服务器,以使所述待攻击应用系统进入等待攻击的启动状态,以及所述指定服务器进入请求监听工作状态;
接收所述用户从预存储的所有攻击类型中选择的指定攻击类型,以及输入的与所述指定攻击类型对应的攻击数据;
向所述指定服务器发送攻击请求url,通过所述指定服务器对所述攻击请求url进行验签处理,并生成对应的验签结果,其中,所述攻击请求url至少携带所述指定攻击类型、所述攻击数据、所述第一Access Key Id与第一SecretKey;
接收所述指定服务器返回的所述验签结果,并判断所述验签结果是否为验签通过;
若所述验签结果为验签通过,控制所述指定服务器根据所述攻击请求url,对所述待攻击应用系统实施对应的攻击行为。
综上所述,本申请实施例中提供的应用系统的攻击测试方法、装置、计算机设备和存储介质,当用户具有对应用系统执行攻击测试的需求时,可以从管理界面中输入对应的instance信息,来自主选择需要进行攻击测试的待攻击应用系统。在接收到该instance信息后,便会启动待攻击应用系统,以及与待攻击应用系统对应的指定服务器。另外,本申请预先创建有与应用系统对应的多个攻击类型,用户可以从所有的攻击类型选择需要对待攻击应用系统执行的指定攻击类型,以根据用户的需求来为待攻击应用系统注入对应的特定异常。当接收到用户从该攻击类型中选择的指定攻击类型以及输入的攻击数据后,便会向指定服务器发送包含上述指定攻击类型与攻击数据的攻击请求url,以通过指定服务器对攻击请求url进行验签处理。如果经过验签处理后的验签结果为验签通过,则判定上述攻击请求url是合法的,并会控制指定服务器根据该攻击请求url,来对待攻击应用系统实施对应的攻击行为,以实现对于待攻击应用系统的攻击测试,即为应用系统模拟出指定类型的异常测试场景以进行故障异常演练。通过本申请可以根据用户的攻击测试需求,来为应用系统模拟出指定类型的异常测试场景并进行故障异常演练,有效的实现了对于应用系统在正式上线前的异常验证,进而使得潜在的故障能够尽早发现,避免用户和应用系统出现重大的损失。另外,对于被实施攻击行为的应用系统不会涉及代码修改/调整,也不会对应用系统已有的业务功能的使用造成不良影响。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储与一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的和实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM通过多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双速据率SDRAM(SSRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其它要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
以上所述仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (10)
1.一种应用系统的攻击测试方法,其特征在于,包括:
当接收到用户在管理界面内输入的与待攻击系统对应的instance信息时,根据所述instance信息生成与所述待攻击应用系统对应的第一Access Key Id与第一SecretKey,其中,所述instance信息至少包括所述待攻击应用系统的名称;
启动所述待攻击应用系统,以及与所述待攻击应用系统对应的指定服务器,以使所述待攻击应用系统进入等待攻击的启动状态,以及所述指定服务器进入请求监听工作状态;
接收所述用户从预存储的所有攻击类型中选择的指定攻击类型,以及输入的与所述指定攻击类型对应的攻击数据;
向所述指定服务器发送攻击请求url,通过所述指定服务器对所述攻击请求url进行验签处理,并生成对应的验签结果,其中,所述攻击请求url至少携带所述指定攻击类型、所述攻击数据、所述第一Access Key Id与第一SecretKey;
接收所述指定服务器返回的所述验签结果,并判断所述验签结果是否为验签通过;
若所述验签结果为验签通过,控制所述指定服务器根据所述攻击请求url,对所述待攻击应用系统实施对应的攻击行为。
2.根据权利要求1所述的应用系统的攻击测试方法,其特征在于,所述instance信息还包括所述待攻击应用系统的实例名称、IP地址与端口信息,所述当接收到用户在管理界面内输入的与待攻击系统对应的instance信息时,根据所述instance信息生成与所述待攻击应用系统对应的第一Access Key Id与第一SecretKey的步骤之前,包括:
判断是否接收到所述用户在登录界面上输入的登录信息;
若接收到所述登录信息,根据所述登录信息,判断所述用户是否具备登录权限;
若具备登录权限,从所述登录界面跳转至所述管理界面。
3.根据权利要求1所述的应用系统的攻击测试方法,其特征在于,所述攻击类型至少包括抛出异常、超时等待、终止进程,所述攻击数据至少包括攻击等级与攻击参数,所述向所述指定服务器发送攻击请求url,通过所述指定服务器对所述攻击请求url进行验签处理,并生成对应的验签结果的步骤之前,包括:
通过加密算法对所述第一Access Key Id与所述第一SecretKey进行加密处理,得到对应的加密密文;
将所述加密密文存储于所述指定服务器内的启动jar包所在的指定路径下;
所述向所述指定服务器发送攻击请求url,以通过所述指定服务器对所述攻击请求url进行验签处理,并生成对应的验签结果的步骤,包括:
向所述指定服务器发送攻击请求url,以使得所述指定服务器在接收到所述攻击请求url后,从所述指定路径提取出所述加密密文,并根据所述加密密文对所述攻击请求url进行验签处理,生成所述验签结果。
4.根据权利要求1所述的应用系统的攻击测试方法,其特征在于,所述向所述指定服务器发送攻击请求url,以通过所述指定服务器对所述攻击请求url进行验签处理,并生成对应的验签结果的步骤的步骤之前,包括:
判断所述待攻击应用系统当前是否存在待处理业务请求,其中,所述待处理业务请求的数量为一个或多个;
若是,对所述待处理业务请求进行拷贝,得到与所述待处理业务请求对应的业务请求副本;
存储所述业务请求副本,并在所述业务请求副本存储完成后,向所述待攻击应用系统发送请求删除指令,以控制所述待攻击应用系统删除所述待处理业务请求。
5.根据权利要求1所述的应用系统的攻击测试方法,其特征在于,所述接收所述指定服务器返回的所述验签结果,并判断所述验签结果是否为验签通过的步骤之后,包括:
若所述验签结果为验签不通过,禁止所述指定服务器响应所述攻击请求url,以限制所述指定服务器对所述待攻击应用系统实施对应的攻击行为;
在当前界面生成所述攻击请求url不合法的提醒信息。
6.根据权利要求1所述的应用系统的攻击测试方法,其特征在于,所述控制所述指定服务器根据所述攻击请求url,对所述待攻击应用系统实施对应的攻击行为的步骤之后,包括:
向所述指定服务器发送记录指令,以通过所述指定服务器根据所述记录指令,记录所述待攻击应用系统在被实施所述攻击行为后的实时系统属性数据,其中,所述实时系统属性数据包括:CPU、内存、进程、磁盘、网络行为、数据库行为、全局变量以及应用程序编程接口调用所分别对应的数据;
接收所述指定服务器返回的所述实时系统属性数据;
在当前界面展示所述实时系统属性数据。
7.根据权利要求6所述的应用系统的攻击测试方法,其特征在于,所述在当前界面展示所述实时系统属性数据的步骤之后,包括:
对所述实时系统属性数据进行分析,得到所述待攻击应用系统被实施所述攻击行为后存在的安全漏洞;
根据所述安全漏洞,生成与所述安全漏洞对应的安全威胁评测报告;
展示所述安全威胁评测报告。
8.一种应用系统的攻击测试装置,其特征在于,包括:
第一生成模块,用于当接收到用户在管理界面内输入的与待攻击系统对应的instance信息时,根据所述instance信息生成与所述待攻击应用系统对应的第一Access Key Id与第一SecretKey,其中,所述instance信息至少包括所述待攻击应用系统的名称;
启动模块,用于启动所述待攻击应用系统,以及与所述待攻击应用系统对应的指定服务器,以便所述待攻击应用系统进入等待攻击的启动状态,以及所述指定服务器进入请求监听工作状态;
第一接收模块,用于接收所述用户从预存储的所有攻击类型中选择的指定攻击类型,以及输入的与所述指定攻击类型对应的攻击数据;
第一发送模块,用于向所述指定服务器发送攻击请求url,通过所述指定服务器对所述攻击请求url进行验签处理,并生成对应的验签结果,其中,所述攻击请求url至少携带所述指定攻击类型、所述攻击数据、所述第一Access Key Id与第一SecretKey;
第一判断模块,用于接收所述指定服务器返回的所述验签结果,并判断所述验签结果是否为验签通过;
攻击模块,用于若是,控制所述指定服务器根据所述攻击请求url,对所述待攻击应用系统实施对应的攻击行为。
9.一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述方法的步骤。
10.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010120138.0A CN111427767B (zh) | 2020-02-26 | 2020-02-26 | 应用系统的攻击测试方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010120138.0A CN111427767B (zh) | 2020-02-26 | 2020-02-26 | 应用系统的攻击测试方法、装置、计算机设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111427767A true CN111427767A (zh) | 2020-07-17 |
CN111427767B CN111427767B (zh) | 2024-05-28 |
Family
ID=71551585
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010120138.0A Active CN111427767B (zh) | 2020-02-26 | 2020-02-26 | 应用系统的攻击测试方法、装置、计算机设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111427767B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114169415A (zh) * | 2021-11-29 | 2022-03-11 | 北京智美互联科技有限公司 | 一种系统故障模式识别的方法和系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100299366A1 (en) * | 2009-05-20 | 2010-11-25 | Sap Ag | Systems and Methods for Generating Cloud Computing Landscapes |
CN107211245A (zh) * | 2014-07-30 | 2017-09-26 | 总锁有限责任公司 | 用于锁定装置的位置跟踪 |
CN107209983A (zh) * | 2014-07-30 | 2017-09-26 | 总锁有限责任公司 | 用于认证的无线密钥管理 |
CN107612895A (zh) * | 2017-09-05 | 2018-01-19 | 网宿科技股份有限公司 | 一种互联网防攻击方法及认证服务器 |
CN108040070A (zh) * | 2017-12-29 | 2018-05-15 | 北京奇虎科技有限公司 | 一种网络安全测试平台及方法 |
CN108959923A (zh) * | 2018-05-31 | 2018-12-07 | 深圳壹账通智能科技有限公司 | 综合安全感知方法、装置、计算机设备和存储介质 |
-
2020
- 2020-02-26 CN CN202010120138.0A patent/CN111427767B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100299366A1 (en) * | 2009-05-20 | 2010-11-25 | Sap Ag | Systems and Methods for Generating Cloud Computing Landscapes |
CN107211245A (zh) * | 2014-07-30 | 2017-09-26 | 总锁有限责任公司 | 用于锁定装置的位置跟踪 |
CN107209983A (zh) * | 2014-07-30 | 2017-09-26 | 总锁有限责任公司 | 用于认证的无线密钥管理 |
CN107612895A (zh) * | 2017-09-05 | 2018-01-19 | 网宿科技股份有限公司 | 一种互联网防攻击方法及认证服务器 |
CN108040070A (zh) * | 2017-12-29 | 2018-05-15 | 北京奇虎科技有限公司 | 一种网络安全测试平台及方法 |
CN108959923A (zh) * | 2018-05-31 | 2018-12-07 | 深圳壹账通智能科技有限公司 | 综合安全感知方法、装置、计算机设备和存储介质 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114169415A (zh) * | 2021-11-29 | 2022-03-11 | 北京智美互联科技有限公司 | 一种系统故障模式识别的方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN111427767B (zh) | 2024-05-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI603600B (zh) | 利用運行期代理器及網路探查器判定漏洞之技術 | |
US20170255777A1 (en) | Methods and apparatus for identifying and removing malicious applications | |
US8499353B2 (en) | Assessment and analysis of software security flaws | |
US8793800B2 (en) | Static analysis for verification of software program access to secure resources for computer systems | |
TWI575397B (zh) | 利用運行期代理器及動態安全分析之應用程式逐點保護技術 | |
CN109726099B (zh) | 一种应用灰度发布方法、装置及设备 | |
US20100281248A1 (en) | Assessment and analysis of software security flaws | |
US20180075233A1 (en) | Systems and methods for agent-based detection of hacking attempts | |
TWI574173B (zh) | 決定受測應用程式安全活動之技術 | |
CN111460404A (zh) | 双录数据处理方法、装置、计算机设备及存储介质 | |
JP2007047884A (ja) | 情報処理システム | |
CN110049028B (zh) | 监控域控管理员的方法、装置、计算机设备及存储介质 | |
CN110493229B (zh) | 业务请求处理方法、装置及系统 | |
CN113868659B (zh) | 一种漏洞检测方法及系统 | |
CN116361807A (zh) | 风险管控方法、装置、存储介质及电子设备 | |
CN113852520B (zh) | 数据处理方法及装置 | |
CN111427767B (zh) | 应用系统的攻击测试方法、装置、计算机设备和存储介质 | |
Antunes et al. | Evaluating and improving penetration testing in web services | |
CN104965701B (zh) | 获取应用信息的方法及装置 | |
CN113922975A (zh) | 一种安全控制方法、服务器、终端、系统和存储介质 | |
CN108763934B (zh) | 数据处理方法及装置、存储介质、服务器 | |
CN109582454A (zh) | 一种分布式存储集群中的权限释放控制方法、装置及设备 | |
CN114329486A (zh) | 一种资产漏洞管理方法、装置、电子设备及存储介质 | |
CN113868670A (zh) | 一种漏洞检测流程检验方法及系统 | |
CN114428955A (zh) | 一种基于操作信息判断异常风险的方法、系统及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |