CN111949548B - 一种自动化越权渗透测试方法和存储设备 - Google Patents

一种自动化越权渗透测试方法和存储设备 Download PDF

Info

Publication number
CN111949548B
CN111949548B CN202010854717.8A CN202010854717A CN111949548B CN 111949548 B CN111949548 B CN 111949548B CN 202010854717 A CN202010854717 A CN 202010854717A CN 111949548 B CN111949548 B CN 111949548B
Authority
CN
China
Prior art keywords
detected
user
script
information value
operation request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010854717.8A
Other languages
English (en)
Other versions
CN111949548A (zh
Inventor
张师举
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujian Guoxin Lilian Technology Group Co ltd
Original Assignee
Fujian Guoxin Lilian Technology Group Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujian Guoxin Lilian Technology Group Co ltd filed Critical Fujian Guoxin Lilian Technology Group Co ltd
Priority to CN202010854717.8A priority Critical patent/CN111949548B/zh
Publication of CN111949548A publication Critical patent/CN111949548A/zh
Application granted granted Critical
Publication of CN111949548B publication Critical patent/CN111949548B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/3668Software testing
    • G06F11/3672Test management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/3668Software testing
    • G06F11/3672Test management
    • G06F11/3688Test management for test execution, e.g. scheduling of test suites
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/3668Software testing
    • G06F11/3672Test management
    • G06F11/3692Test management for test results analysis

Abstract

本发明涉及软件测试领域,特别涉及一种自动化越权渗透测试方法和存储设备。所述一种自动化越权渗透测试方法,包括步骤:待检测系统接收不同权限用户的操作请求,对所有的操作请求进行抓包,对抓包后的所有的操作请求生成操作请求脚本;将操作请求脚本中的身份标识信息值替换为一个获取身份标识信息值的函数;运行替换后的操作请求脚本模拟待检测用户登录所述待检测系统,返回请求对应的响应包,判断待检测用户是否越权成功。整个过程可自动化替换待检测用户的身份标识信息,以不同的身份标识信息对待检测系统进行登录请求与操作请求,真实自动化模拟了各种权限用户的操作访问请求,无需人工一个个操作过去,大大提高了测试效率。

Description

一种自动化越权渗透测试方法和存储设备
技术领域
本发明涉及软件测试领域,特别涉及一种自动化越权渗透测试方法和存储设备。
背景技术
随着科技的不断发展,软件的开发进度越来越快。故而软件测试也变得尤为重要。所谓软件测试指:在规定的条件下对软件程序进行操作,以发现程序错误,衡量软件质量,并对其是否能满足设计要求进行评估的过程。
越权(或者说权限提升,Privilege Escalation)作为软件测试中常见的一个测试项目是指攻击者能够执行其本身没有资格执行的一些操作,属于“访问控制”的问题。它的威胁在于一个账户即可控制全站用户数据。当然这些数据仅限于存在漏洞功能对应的数据。越权访问(Broken Access Control,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名。现有技术中,对于越权漏洞的检测主要是通过测试人员对Web程序进行渗透测试,人工检测出漏洞,这种人工方式检测方法耗费时间较长,检测人员需要进行大量的重复性工作,效率极其低下。
目前市面上虽已有很多测试工具,但是针对于越权测试方面却没有一个很好的有针对性的自动化方法。如果对一个系统每个接口都需做越权测试,基于现有的办法工作量大,耗时长,效率低,且人工大量重复操作无法避免一些人为错误,导致准确率低。
发明内容
为此,需要提供一种自动化越权渗透测试方法,用以解决现有越权测试人工重复操作工作量大,效率低,且容易出现人为错误的问题。具体技术方案如下:
一种自动化越权渗透测试方法,包括步骤:
待检测系统接收不同权限用户的操作请求,对所有的操作请求进行抓包,对抓包后的所有的操作请求进行处理生成操作请求脚本;
将所述操作请求脚本中的身份标识信息值替换为一个获取身份标识信息值的函数;
运行替换后的操作请求脚本模拟待检测用户登录所述待检测系统,所述获取身份标识信息值的函数获取所述待检测用户的身份标识信息值更换至所述脚本,以更换后的操作请求脚本向所述待检测系统发起请求;
返回所述请求对应的响应包,结合预设规则及所述响应包的内容判断所述待检测用户是否越权成功。
进一步的,所述“运行替换后的操作请求脚本模拟待检测用户登录所述待检测系统”前,还包括步骤:通过脚本模拟待检测用户登录待检测系统,获取所述待检测用户的身份标识信息值。
进一步的,所述“对所有的操作请求进行抓包,对抓包后的所有的操作请求进行处理生成操作请求脚本”,还包括步骤:
将每个权限用户所有的操作请求进行去重,分别生成与所述每个权限用户一一对应的第一预设格式文件,根据脚本执行软件的不同将所述第一预设格式文件转换为第二预设格式文件。
进一步的,所述“结合预设规则及所述响应包的内容判断所述待检测用户是否越权成功”,还包括步骤:
步骤S1、判断所述响应包的内容中是否包含预设规则中对应的越权字段;
步骤S2、若包含,则判定所述待检测用户越权,并记录测试结果;
步骤S3、判断是否执行完所述操作请求脚本内的所有请求,若未执行完所述操作请求脚本内的所有请求,则激活所述待检测用户,并执行所述操作请求脚本内的下一个请求;
步骤S4、重复S1至S3直至所述待检测用户执行完所述操作请求脚本内的所有请求;
步骤S5、若所述响应包的内容中不包含预设规则中对应的越权字段,则继续执行所述操作请求脚本内的下一个请求,再重复步骤S1,直至执行完所述操作请求脚本内的所有请求。
进一步的,还包括步骤:
步骤S6、若执行完所述操作请求脚本内的所有请求,则获取下一个待检测用户,模拟所述待检测用户向所述待检测系统发起请求,返回所述请求对应的响应包,重复执行步骤S1至S5,直至所有配置的待检测用户都执行完成;
执行完步骤S6后,执行步骤S7、获取并执行下一个权限用户对应的操作请求脚本,重复步骤S1至S6,直至所有权限用户对应的操作请求脚本执行完成,生成测试报告。
进一步的,还包括步骤:
根据所述测试报告生成复测脚本,所述复测脚本只针对存在越权行为的请求进行再次测试。
进一步的,所述“激活所述待检测用户”,还包括步骤:通过更新数据库激活所述待检测用户,或通过调用更新用户状态的接口激活所述待检测用户。
进一步的,所述身份标识信息值为cookie。
进一步的,所述“所述获取身份标识信息值的函数获取所述待检测用户的身份标识信息值更换至所述脚本”,还包括步骤:所述获取身份标识信息值的函数获取所述待检测用户的用户名,所述获取身份标识信息值的函数通过所述用户名获取所述待检测用户的身份标识信息值;
所述身份标识信息值用于唯一标识用户。
为解决上述技术问题,还提供了一中存储设备,其中存储有指令集,所述指令集用于执行:上述所提及的任意步骤。
本发明的有益效果是:通过待检测系统接收不同权限用户的操作请求,对所有的操作请求进行抓包,对抓包后的所有的操作请求进行处理生成操作请求脚本;将所述操作请求脚本中的身份标识信息值替换为一个获取身份标识信息值的函数;运行替换后的操作请求脚本模拟待检测用户登录所述待检测系统,所述获取身份标识信息值的函数获取所述待检测用户的身份标识信息值更换至所述脚本,以更换后的操作请求脚本向所述待检测系统发起请求;返回所述请求对应的响应包,结合预设规则及所述响应包的内容判断所述待检测用户是否越权成功。整个过程可自动化替换待检测用户的身份标识信息,以不同的身份标识信息对待检测系统进行登录请求与操作请求,真实自动化模拟了各种权限用户的操作访问请求,无需人工一个个操作过去,大大提高了测试效率,同时避免了大量重复工作可能产生的人工错误,大大提高了测试的准确性。
附图说明
图1为具体实施方式所述一种自动化越权渗透测试方法的流程图;
图2为具体实施方式所述获取身份标识信息值的函数代码示意图;
图3为具体实施方式所述冻结规则与更新规则的代码示意图;
图4为具体实施方式所述存储设备的模块示意图。
附图标记说明:
400、存储设备。
具体实施方式
为详细说明技术方案的技术内容、构造特征、所实现目的及效果,以下结合具体实施例并配合附图详予说明。
请参阅图1,在本实施方式,所述一种自动化越权渗透测试方法可应用在存储设备上,所述存储设备包括但不限于:个人计算机、服务器、通用计算机、专用计算机、网络设备、嵌入式设备、可编程设备、智能移动终端等。其中所述存储设备上需安装有自动化工具,在本实施方式中,使用httprunner作为辅助测试工具,在其它实施方式中,可根据实际情况,选用其它的测试工具进行替换,不做限制。
本申请的核心技术思想在于:先登录不同权限用户对待检测系统进行所有的操作,将整个操作过程生成操作请求脚本,将所述操作请求脚本中的身份标识信息值替换为一个获取身份标识信息值的函数,通过该获取身份标识信息值的函数在每次模拟待检测用户登录时,其会自动以新的待检测用户对应的身份标识信息值来对待检测系统发起请求,整个过程中无需人工去替换待检测用户与身份标识信息值,大大提高测试效率和测试准确率。
具体实施方式如下:
步骤S101:待检测系统接收不同权限用户的操作请求。
步骤S102:对所有的操作请求进行抓包,对抓包后的所有的操作请求进行处理生成操作请求脚本。
步骤S103:将所述操作请求脚本中的身份标识信息值替换为一个获取身份标识信息值的函数。
步骤S104:运行替换后的操作请求脚本模拟待检测用户登录所述待检测系统,所述获取身份标识信息值的函数获取所述待检测用户的身份标识信息值更换至所述脚本,以更换后的操作请求脚本向所述待检测系统发起请求。
步骤S105:返回所述请求对应的响应包。
步骤S106:结合预设规则及所述响应包的内容判断所述待检测用户是否越权成功。
首先结合步骤S101和步骤S102对如何生成操作请求脚本进行具体说明:
登录不同权限用户对所述待检测系统进行操作,将每个权限用户所有的操作请求进行去重,分别生成与所述每个权限用户一一对应的第一预设格式文件,根据脚本执行软件的不同将所述第一预设格式文件转换为第二预设格式文件。具体可如下:根据要测试的业务需求,某待测系统总共含有三种权限的用户,则分别登录三个不同权限的用户:U1、U2、U3,对应执行每个权限用户的所有操作请求,通过抓包工具(在本实施方式中,使用fiddler进行抓包,在其它实施方式中,可使用其它的抓包工具进行抓包,不做限制)分别获取每个权限用户的所有操作的请求。抓包好后,分别对每个权限用户重复的请求进行去重,分别生成har文件,再借助httprunner的命令将har文件转为YAML/JSON脚本。至此,所有不同权限的用户对应的操作请求脚本生成完毕。在本实施方式中,以JSON脚本来进行说明。
以下结合步骤S103至步骤S105来具体说明如何将操作请求脚本中的身份信息标识值自动替换为待检测用户的。
需要说明的是在所述“运行替换后的操作请求脚本模拟待检测用户登录所述待检测系统”前,还包括步骤:通过脚本模拟待检测用户登录待检测系统,获取所述待检测用户的身份标识信息值。具体可如下:步骤S103具体可如下:由所述待检测系统提供的现有的用户名和密码,通过写模仿用户登录的Selenium测试脚本,来自动模拟不同用户登录的行为,获取用户的身份标识信息值。
如:根据业务需求,会事先配置好要进行越权测试的角色,不同的角色对应不同的权限,并配置好每个角色下的用户名和密码列表,如角色A下配置了三个用户:a1、a2、a3;角色B下配置了两个用户:b1、b2;角色C下配置了四个用户:c1、c2、c3、c4。则通过脚本模拟上述这些待检测用户登录待检测系统,获取到上述这些待检测用户的身份标识信息值。在本实施方式中,所述身份标识信息值为cookie,所述身份标识信息值用于唯一标识用户。获取好这些cookie值后,在后续过程中,所述获取身份标识信息值的函数则可以根据用户名获取到对应的cookie值。
步骤S103具体可如下:将所述操作请求脚本headers中的cookie值设置为一个获取身份标识信息值的函数,在本实施方式中,优选为实时获取身份标识信息值的函数,具体替换如图2所示。所述获取身份标识信息值的函数会自动获取所述待检测用户的用户名,所述获取身份标识信息值的函数通过所述用户名获取所述待检测用户的身份标识信息值。如:登录待检测用户c1,则所述获取身份标识信息值的函数会根据c1的用户名自动获取c1对应的cookie值。并将所述cookie值更换至所述脚本中。即步骤S104。具体在操作请求脚本中体现为:读取所有JSON格式的操作请求脚本文件,并查找到JSON文件中的headers参数,添加子参数cookies,并赋值为下述配置的函数的调用方法,即:通过chrome-headless模拟用户的登录,需对待检测系统的登录页面进行配置,包括url、用户名、密码、登录按钮等控件的定位(id)。
替换好待检测用户后,模拟所述待检测用户发起请求;返回所述请求对应的响应包,结合预设规则及所述响应包的内容判断所述待检测用户是否越权成功。
通过待检测系统接收不同权限用户的操作请求,对所有的操作请求进行抓包,对抓包后的所有的操作请求进行处理生成操作请求脚本;将所述操作请求脚本中的身份标识信息值替换为一个获取身份标识信息值的函数;运行替换后的操作请求脚本模拟待检测用户登录所述待检测系统,所述获取身份标识信息值的函数获取所述待检测用户的身份标识信息值更换至所述脚本,以更换后的操作请求脚本向所述待检测系统发起请求;返回所述请求对应的响应包,结合预设规则及所述响应包的内容判断所述待检测用户是否越权成功。整个过程可自动化替换待检测用户的身份标识信息,以不同的身份标识信息对待检测系统进行登录请求与操作请求,真实自动化模拟了各种权限用户的操作访问请求,无需人工一个个操作过去,大大提高了测试效率,同时避免了大量重复工作可能产生的人工错误,大大提高了测试的准确性。
其中步骤S106还包括步骤:
步骤S1、判断所述响应包的内容中是否包含预设规则中对应的越权字段。
步骤S2、若包含,则判定所述待检测用户越权,并记录测试结果。
步骤S3、判断是否执行完所述操作请求脚本内的所有请求,若未执行完所述操作请求脚本内的所有请求,则激活所述待检测用户,并执行所述操作请求脚本内的下一个请求。
步骤S4、重复S1至S3直至所述待检测用户执行完所述操作请求脚本内的所有请求。
步骤S5、若所述响应包的内容中不包含预设规则中对应的越权字段,则继续执行所述操作请求脚本内的下一个请求,再重复步骤S1,直至执行完所述操作请求脚本内的所有请求。
其中步骤S1具体可如下:配置结果判断参数,将越权行为拥有的特征值进行配置,如:每次越权的时候会返回一个含有冻结的提醒,则配置为“contains”:[“content”,“冻结”]。故判断返回的响应包的内容中是否有“冻结”,若有,则所述待检测用户越权。具体在操作请求脚本中体现为:查找JSON格式的操作请求脚本文件中的validate参数,将validate参数内的子参数列表替换为“contains”:[“content”,“冻结”],如图3所示。
所述待检测用户越权后会被冻结,即该用户无法正常登陆,需将用户状态进行修改。配置结果完成后要执行的操作teardown_hooks函数。通过直接更新数据库或调用更新用户状态的接口,对由于执行了请求而冻结进行处理,避免用户的状态影响到实际结果。具体在操作请求脚本中体现为:读取所有JSON格式的操作请求脚本文件,并查找到JSON格式文件中的validate参数,在validate参数后增加teardown_hooks参数,在参数中增加上述步骤中配置的处理函数的调用方法,如图3所示。
进一步的,还包括步骤:
步骤S6、若执行完所述操作请求脚本内的所有请求,则获取下一个待检测用户,模拟所述待检测用户向所述待检测系统发起请求,返回所述请求对应的响应包,重复执行步骤S1至S5,直至所有配置的待检测用户都执行完成。
如:角色A对应权限U1,对应json文件为L1,其中角色A下配置了三个待检测用户:a1、a2、a3;首选模拟待检测用户a1对待检测系统发起请求,开始执行L1内的第一个请求,返回第一个请求对应的响应包,判断所述响应包的内容中是否包含“冻结”这个字段,若包含(说明待检测用户a1存在越权行为,待检测系统会冻结a1),继续判断a1是否执行完了L1内的所有请求,若a1未执行完L1内的所有请求,则激活a1,并执行L1内的下一个请求,重复步骤S1至步骤S3,直到a1把L1内的所有请求执行完毕。同理,若返回的响应包的内容不包含“冻结”这个字段,则直接执行L1内的下一个请求,再重复步骤S1,直至执行完L1内的所有请求。
执行完L1内的所有请求后,获取下一个待检测用户a1,重复上述所有步骤,直至角色A下配置的所有待检测用户都执行完成。
执行完步骤S6后,执行步骤S7、获取并执行下一个权限用户对应的操作请求脚本,重复步骤S1至S6,直至所有权限用户对应的操作请求脚本执行完成,生成测试报告。如:角色A下配置的所有待检测用户都执行完成。则开始执行角色B下配置的所有待检测用户,后面的步骤跟上面一样,不做重复说明。
进一步的,根据所述测试报告生成复测脚本,所述复测脚本只针对存在越权行为的请求进行再次测试。可避免对已经测试通过的进行再次测试,避免重复工作,大大提高效率。
请参阅图4,在本实施方式中,所述存储设备400存储有指令集,所述指令集用于执行:上述所提及的一种自动化越权渗透测试方法中的任意步骤。
需要说明的是,尽管在本文中已经对上述各实施例进行了描述,但并非因此限制本发明的专利保护范围。因此,基于本发明的创新理念,对本文所述实施例进行的变更和修改,或利用本发明说明书及附图内容所作的等效结构或等效流程变换,直接或间接地将以上技术方案运用在其他相关的技术领域,均包括在本发明的专利保护范围之内。

Claims (9)

1.一种自动化越权渗透测试方法,其特征在于,包括步骤:
待检测系统接收不同权限用户的操作请求,对所有的操作请求进行抓包,对抓包后的所有的操作请求进行处理生成操作请求脚本;
将所述操作请求脚本中的身份标识信息值替换为一个获取身份标识信息值的函数;
运行替换后的操作请求脚本模拟待检测用户登录所述待检测系统,所述获取身份标识信息值的函数获取所述待检测用户的身份标识信息值更换至所述脚本,以更换后的操作请求脚本向所述待检测系统发起请求;
返回所述请求对应的响应包,结合预设规则及所述响应包的内容判断所述待检测用户是否越权成功;
所述“结合预设规则及所述响应包的内容判断所述待检测用户是否越权成功”,还包括步骤:
步骤S1、判断所述响应包的内容中是否包含预设规则中对应的越权字段;
步骤S2、若包含,则判定所述待检测用户越权,并记录测试结果;
步骤S3、判断是否执行完所述操作请求脚本内的所有请求,若未执行完所述操作请求脚本内的所有请求,则激活所述待检测用户,并执行所述操作请求脚本内的下一个请求;
步骤S4、重复S1至S3直至所述待检测用户执行完所述操作请求脚本内的所有请求;
步骤S5、若所述响应包的内容中不包含预设规则中对应的越权字段,则继续执行所述操作请求脚本内的下一个请求,再重复步骤S1,直至执行完所述操作请求脚本内的所有请求。
2.根据权利要求1所述的一种自动化越权渗透测试方法,其特征在于,所述“运行替换后的操作请求脚本模拟待检测用户登录所述待检测系统”前,还包括步骤:通过脚本模拟待检测用户登录待检测系统,获取所述待检测用户的身份标识信息值。
3.根据权利要求1所述的一种自动化越权渗透测试方法,其特征在于,所述“对所有的操作请求进行抓包,对抓包后的所有的操作请求进行处理生成操作请求脚本”,还包括步骤:
将每个权限用户所有的操作请求进行去重,分别生成与所述每个权限用户一一对应的第一预设格式文件,根据脚本执行软件的不同将所述第一预设格式文件转换为第二预设格式文件。
4.根据权利要求1所述的一种自动化越权渗透测试方法,其特征在于,还包括步骤:
步骤S6、若执行完所述操作请求脚本内的所有请求,则获取下一个待检测用户,模拟所述待检测用户向所述待检测系统发起请求,返回所述请求对应的响应包,重复执行步骤S1至S5,直至所有配置的待检测用户都执行完成;
执行完步骤S6后,执行步骤S7、获取并执行下一个权限用户对应的操作请求脚本,重复步骤S1至S6,直至所有权限用户对应的操作请求脚本执行完成,生成测试报告。
5.根据权利要求4所述的一种自动化越权渗透测试方法,其特征在于,还包括步骤:
根据所述测试报告生成复测脚本,所述复测脚本只针对存在越权行为的请求进行再次测试。
6.根据权利要求1所述的一种自动化越权渗透测试方法,其特征在于,所述“激活所述待检测用户”,还包括步骤:通过更新数据库激活所述待检测用户,或通过调用更新用户状态的接口激活所述待检测用户。
7.根据权利要求1所述的一种自动化越权渗透测试方法,其特征在于,所述身份标识信息值为cookie。
8.根据权利要求1所述的一种自动化越权渗透测试方法,其特征在于,所述“所述获取身份标识信息值的函数获取所述待检测用户的身份标识信息值更换至所述脚本”,还包括步骤:所述获取身份标识信息值的函数获取所述待检测用户的用户名,所述获取身份标识信息值的函数通过所述用户名获取所述待检测用户的身份标识信息值;
所述身份标识信息值用于唯一标识用户。
9.一种存储设备,其中存储有指令集,其特征在于,所述指令集用于执行权利要求1至8任一所述的方法。
CN202010854717.8A 2020-08-24 2020-08-24 一种自动化越权渗透测试方法和存储设备 Active CN111949548B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010854717.8A CN111949548B (zh) 2020-08-24 2020-08-24 一种自动化越权渗透测试方法和存储设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010854717.8A CN111949548B (zh) 2020-08-24 2020-08-24 一种自动化越权渗透测试方法和存储设备

Publications (2)

Publication Number Publication Date
CN111949548A CN111949548A (zh) 2020-11-17
CN111949548B true CN111949548B (zh) 2022-08-26

Family

ID=73359257

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010854717.8A Active CN111949548B (zh) 2020-08-24 2020-08-24 一种自动化越权渗透测试方法和存储设备

Country Status (1)

Country Link
CN (1) CN111949548B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113590461B (zh) * 2021-06-01 2024-04-23 的卢技术有限公司 一种基于fidder实现汽车用户数据越权的测试方法
CN114676067B (zh) * 2022-05-26 2022-08-30 武汉迎风聚智科技有限公司 一种测试脚本的参数化处理方法以及装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105357195A (zh) * 2015-10-30 2016-02-24 深圳市深信服电子科技有限公司 web访问的越权漏洞检测方法及装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2375861B1 (es) * 2010-03-29 2013-01-29 Vodafone España, S.A.U. Sistema y método para gestionar la autenticación automática a recursos objetivo de internet.
CN101977224B (zh) * 2010-10-28 2013-10-09 神州数码网络(北京)有限公司 一种基于SSL VPN设备的Web资源认证信息管理方法
CN109739492B (zh) * 2019-01-09 2022-06-17 武汉瓯越网视有限公司 一种生成脚本代码的方法、终端、设备和介质
CN110598418B (zh) * 2019-09-10 2020-10-16 深圳开源互联网安全技术有限公司 基于iast测试工具动态检测垂直越权的方法及系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105357195A (zh) * 2015-10-30 2016-02-24 深圳市深信服电子科技有限公司 web访问的越权漏洞检测方法及装置

Also Published As

Publication number Publication date
CN111949548A (zh) 2020-11-17

Similar Documents

Publication Publication Date Title
CN105787364B (zh) 任务的自动化测试方法、装置及系统
CN110730107A (zh) 测试数据生成方法、装置、计算机设备和存储介质
CN111949548B (zh) 一种自动化越权渗透测试方法和存储设备
CN105760286A (zh) 应用数据库动态性能检测方法及检测装置
CN107102949B (zh) 应用程序离线测试方法及工具
CN112887388B (zh) 基于沙箱环境的数据处理系统
CN104462962B (zh) 一种检测未知恶意代码和二进制漏洞的方法
KR101972825B1 (ko) 하이브리드 분석 기술을 이용한 임베디드 기기 취약점 자동 분석 방법, 장치 및 그 방법을 실행하는 컴퓨터 프로그램
CN110659202A (zh) 客户端自动化测试方法及装置
CN107621963B (zh) 一种软件部署方法、软件部署系统及电子设备
JP2016099857A (ja) 不正プログラム対策システムおよび不正プログラム対策方法
CN110941632A (zh) 一种数据库审计方法、装置及设备
CN112269697B (zh) 一种设备存储性能测试方法、系统及相关装置
CN111400171B (zh) 一种接口测试方法、系统、装置及可读存储介质
CN117493188A (zh) 接口测试方法及装置、电子设备及存储介质
CN110691090B (zh) 网站检测方法、装置、设备及存储介质
CN111245800B (zh) 网络安全测试方法和装置、存储介质、电子装置
CN116303069A (zh) 一种车载终端的测试方法、装置、上位机、系统及介质
CN111459796A (zh) 自动化测试方法、装置、计算机设备和存储介质
CN113722240B (zh) 一种linux操作系统管理平台的稳定性测试方法及系统
CN107766068B (zh) 应用系统补丁安装方法、装置、计算机设备和存储介质
CN115373929A (zh) 测试方法、装置、设备、可读存储介质及程序产品
CN114416596A (zh) 一种测试应用的方法、装置、计算机设备及存储介质
CN113127884A (zh) 一种基于虚拟化的漏洞并行验证方法及装置
CN113031995B (zh) 一种更新规则的方法、装置、存储介质以及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 350011 5-6b, No. 8, Kuai'an Road, Mawei District, Fuzhou City, Fujian Province (in the pilot Free Trade Zone)

Applicant after: Fujian Guoxin Lilian Technology Group Co.,Ltd.

Address before: 350011 5-6b, No. 8, Kuai'an Road, Mawei District, Fuzhou City, Fujian Province (in the pilot Free Trade Zone)

Applicant before: Fujian Guoxin Lilian Information Technology Co.,Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant