CN112019544B - 网络接口的安全扫描方法、装置及系统 - Google Patents
网络接口的安全扫描方法、装置及系统 Download PDFInfo
- Publication number
- CN112019544B CN112019544B CN202010883849.3A CN202010883849A CN112019544B CN 112019544 B CN112019544 B CN 112019544B CN 202010883849 A CN202010883849 A CN 202010883849A CN 112019544 B CN112019544 B CN 112019544B
- Authority
- CN
- China
- Prior art keywords
- test
- interface
- scanning
- security
- security scanning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Abstract
本说明书一个或多个实施例公开了一种网络接口的安全扫描方法、装置及系统,以解决现有的接口安全检测方法人力成本高以及检测置后的问题。所述方法包括:确定目标网络接口的第一功能项对应的测试用例。根据所述测试用例,生成针对所述目标网络接口的所述第一功能项的接口测试请求,所述接口测试请求包括所述目标网络接口的接口标识信息和所述测试用例。基于所述接口测试请求,执行所述第一功能项对应的所述测试用例,得到所述测试用例的执行结果数据。以及,对所述接口测试请求的第一测试信息进行安全扫描,得到所述第一功能项对应的目标安全扫描结果。所述第一测试信息包括测试请求信息和/或所述执行结果数据。
Description
技术领域
本说明书涉及网络安全技术领域,尤其涉及一种网络接口的安全扫描方法、装置及系统。
背景技术
现有技术中,对外暴露的网络接口的安全检测主要采用以下两种方法:一种是由专门的安全测试人员通过抓包工具获得业务请求,针对业务请求构造安全检测事件,并向用户发布网站安全扫描服务接口,用户则需要调用网站安全扫描服务接口,来实现对网络接口的安全扫描。另一种是安全测试人员利用一些安全扫描工具对网络接口进行扫描。可见,这两种方法都依赖于安全测试人员,需要大量的手工操作,成本较高;且通常需要在接口功能交付以后单独进行,在项目流程中比较后置。
发明内容
一方面,本说明书一个或多个实施例提供一种网络接口的安全扫描方法,包括:确定目标网络接口的第一功能项对应的测试用例,所述测试用例包括所述第一功能项的接口入参数据。根据所述测试用例,生成针对所述目标网络接口的所述第一功能项的接口测试请求,所述接口测试请求包括所述目标网络接口的接口标识信息和所述测试用例。基于所述接口测试请求,执行所述第一功能项对应的所述测试用例,得到所述测试用例的执行结果数据。以及,对所述接口测试请求的第一测试信息进行安全扫描,得到所述第一功能项对应的目标安全扫描结果。所述第一测试信息包括测试请求信息和/或所述执行结果数据。
另一方面,本说明书一个或多个实施例提供一种网络接口的安全扫描装置,包括:确定模块,确定目标网络接口的第一功能项对应的测试用例,所述测试用例包括所述第一功能项的接口入参数据。生成模块,根据所述测试用例,生成针对所述目标网络接口的所述第一功能项的接口测试请求,所述接口测试请求包括所述目标网络接口的接口标识信息和所述测试用例。执行模块,基于所述接口测试请求,执行所述第一功能项对应的所述测试用例,得到所述测试用例的执行结果数据,以及,对所述接口测试请求的第一测试信息进行安全扫描,得到所述第一功能项对应的目标安全扫描结果。所述第一测试信息包括测试请求信息和/或所述执行结果数据。
再一方面,本说明书一个或多个实施例提供一种网络接口的安全扫描系统,包括:接口测试设备,确定目标网络接口的第一功能项对应的测试用例,所述测试用例包括所述第一功能项的接口入参数据。根据所述测试用例,生成针对所述目标网络接口的所述第一功能项的接口测试请求,将所述接口测试请求发送至安全扫描设备,所述接口测试请求包括所述目标网络接口的接口标识信息和所述测试用例。基于所述接口测试请求,执行所述第一功能项对应的所述测试用例,得到所述测试用例的执行结果数据。所述安全扫描设备,基于所述接口测试设备发送的所述接口测试请求,对所述接口测试请求的第一测试信息进行安全扫描,得到所述第一功能项对应的目标安全扫描结果。所述第一测试信息包括测试请求信息和/或所述执行结果数据。
再一方面,本说明书一个或多个实施例提供一种网络接口的安全扫描设备,包括:处理器;以及被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:确定目标网络接口的第一功能项对应的测试用例,所述测试用例包括所述第一功能项的接口入参数据。根据所述测试用例,生成针对所述目标网络接口的所述第一功能项的接口测试请求,所述接口测试请求包括所述目标网络接口的接口标识信息和所述测试用例。基于所述接口测试请求,执行所述第一功能项对应的所述测试用例,得到所述测试用例的执行结果数据。以及,对所述接口测试请求的第一测试信息进行安全扫描,得到所述第一功能项对应的目标安全扫描结果。所述第一测试信息包括测试请求信息和/或所述执行结果数据。
再一方面,本申请实施例提供一种存储介质,用于存储计算机可执行指令,所述可执行指令在被执行时实现以下流程:确定目标网络接口的第一功能项对应的测试用例,所述测试用例包括所述第一功能项的接口入参数据。根据所述测试用例,生成针对所述目标网络接口的所述第一功能项的接口测试请求,所述接口测试请求包括所述目标网络接口的接口标识信息、所述接口入参数据和所述测试用例。基于所述接口测试请求,针对所述目标网络接口执行所述测试用例,得到所述测试用例的执行结果数据。以及,对所述接口测试请求的第一测试信息进行安全扫描,得到所述第一功能项对应的目标安全扫描结果。所述第一测试信息包括测试请求信息和/或所述执行结果数据。
附图说明
为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书一个或多个实施例中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是根据本说明书一实施例的一种网络接口的安全扫描方法的示意性流程图;
图2是根据本说明书另一实施例的一种网络接口的安全扫描方法的示意性流程图;
图3是根据本说明书再一实施例的一种网络接口的安全扫描方法的示意性流程图;
图4是根据本说明书一实施例的一种网络接口的安全扫描装置的示意性框图;
图5是根据本说明书一实施例的一种网络接口的安全扫描系统的示意性框图;
图6是根据本说明书另一实施例的一种网络接口的安全扫描系统的示意性框图;
图7是根据本说明书一实施例的一种网络接口的安全扫描设备的示意性框图。
具体实施方式
本说明书一个或多个实施例提供一种网络接口的安全扫描方法、装置及系统,以解决现有的接口安全检测方法人力成本高以及检测置后的问题。
为了使本技术领域的人员更好地理解本说明书一个或多个实施例中的技术方案,下面将结合本说明书一个或多个实施例中的附图,对本说明书一个或多个实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书一个或多个实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本说明书一个或多个实施例保护的范围。
图1是根据本说明书一实施例的一种网络接口的安全扫描方法的示意性流程图,如图1所示,该方法包括:
S102,确定目标网络接口的第一功能项对应的测试用例,测试用例包括第一功能项的接口入参数据。
其中,接口入参数据包括对目标网络接口的第一功能项进行接口测试所需要的参数,即执行测试用例所需的参数。
例如,目标网络接口为登录接口,其第一功能项为:输入正确的登录账号和密码即可完成登录操作(即登录功能)。此时可确定登录接口的登录功能对应的测试用例,测试用例中包括的接口入参数据可以是登录账号和密码。
S104,根据测试用例,生成针对目标网络接口的第一功能项的接口测试请求,接口测试请求包括目标网络接口的接口标识信息和测试用例。
S106,基于接口测试请求,执行第一功能项对应的测试用例,得到测试用例的执行结果数据;以及,对接口测试请求的第一测试信息进行安全扫描,得到第一功能项对应的目标安全扫描结果,第一测试信息包括测试请求信息和/或执行结果数据。
其中,第一功能项对应的目标安全扫描结果,可以理解为基于第一功能项的相关数据(如接口入参数据、执行第一功能项对应的测试用例得到的执行结果数据等)进行安全扫描得到的扫描结果。
采用本说明书一个或多个实施例的技术方案,通过目标网络接口的第一功能项对应的测试用例,生成针对目标网络接口的第一功能项的接口测试请求后,能够基于测试接口测试请求执行第一功能项对应的测试用例,得到测试用例的执行结果数据;并对接口测试请求的第一测试信息(包括测试请求信息和/或执行结果数据)进行安全扫描,得到第一功能项对应的目标安全扫描结果。使得目标网络接口的安全扫描过程被直接融入到自动化测试过程中,在接口测试阶段即可无感知地实现接口的安全扫描,且该安全扫描过程无需人力操作,实现了零人力成本的接口自动化安全检测效果。此外,通过将目标网络接口的安全扫描过程前置到接口测试阶段,使得接口的部分安全问题能够在接口功能交付之前即可被检测出来,从而能够及早解决接口的安全问题。
在一个实施例中,第一测试信息包括测试请求信息,可采用第一安全扫描策略对测试请求信息进行安全扫描。测试请求信息可包括接口测试请求的请求链接、请求类型(如get请求、post请求)、接口入参数据等。
例如,CSRF(Cross-site request forgery,跨站请求伪造)、未授权访问等安全问题均可通过对测试请求信息的扫描检测出来。
在一个实施例中,第一测试信息包括执行结果数据,可采用第二安全扫描策略对执行结果数据进行安全扫描。
例如,与敏感信息等内容相关的安全问题,均可通过对执行结果数据的扫描检测出来。假设对于某支付应用的登录接口进行安全检测,且预期检测结果为输入登录账号和密码后返回登录页面信息,若对该登录接口进行安全检测后返回的是登录密码,由于登录密码为敏感信息,因此可认为该登录接口存在安全问题。
上述实施例中,第一安全扫描策略和第二安全扫描策略均可包括安全扫描时机、安全扫描方式等,其基于第一测试信息的信息类型来确定。
其中,若第一测试信息为测试请求信息,则对应的安全扫描时机为执行目标网络接口的第一功能项对应的测试用例的之前、同时或之后。若第一测试信息为执行结果数据,则对应的安全扫描时机为对执行结果数据进行逻辑校验的之前、同时或之后。
不同类型的测试信息对应的安全扫描方式可按照现有方式去选择,例如选择现有的敏感信息检测方式对敏感信息进行安全扫描,选择现有的未授权访问检测方式对未授权访问信息进行安全扫描;等等。
上述实施例中,通过将目标网络接口的安全扫描过程直接融入到自动化测试过程中,且不同测试信息(如测试请求信息、执行结果数据)的安全扫描过程被融入到不同自动化测试的不同阶段,不仅实现了无感知的接口自动化安全扫描效果,且能够针对不同测试信息采用各自对应的安全扫描策略,使得各类测试信息的安全扫描结果更有针对性、且更加准确。
在一个实施例中,目标安全扫描结果包括对测试请求信息进行安全扫描得到的第一安全扫描结果。测试用例的执行过程与对测试请求信息的安全扫描过程为异步线程,即,对测试请求信息的安全扫描过程与测试用例的执行过程之间互不影响。
基于此,可在执行目标网络接口的第一功能项对应的测试用例的之前、同时或之后,对测试请求信息进行安全扫描,得到第一安全扫描结果。执行目标网络接口的第一功能项对应的测试用例之前、同时或之后的时机可包括以下任一项:生成接口测试请求的同时;生成接口测试请求之后、且开始执行测试用例之前;开始执行测试用例之后。
其中,测试请求信息包括请求链接、请求类型(如get请求、post请求)、接口入参数据等。
本实施例中,可采用上述实施例中所述的第一安全扫描策略对测试请求信息进行安全扫描。例如,CSRF、未授权访问等安全问题均可通过对测试请求信息的扫描检测出来。
在一个实施例中,通过执行目标网络接口的第一功能项对应的测试用例,得到测试用例的执行结果数据后,可对执行结果数据进行解析,以得到执行结果数据对应的实体数据;进而对该实体数据进行逻辑校验,以得到目标网络接口的第一功能项对应的接口测试结果。
在一个实施例中,目标安全扫描结果包括对执行结果数据对应的实体数据进行安全扫描得到的第二安全扫描结果。对实体数据的逻辑校验过程与对实体数据的安全扫描过程为异步线程,即,对实体数据的逻辑校验过程与对实体数据的安全扫描过程之间互不影响。
基于此,可在对实体数据进行逻辑校验的之前、同时或之后,对实体数据进行安全扫描,得到第二安全扫描结果。
本实施例中,可采用上述实施例中所述的第二安全扫描策略对执行结果数据对应的实体数据进行安全扫描。例如,与敏感信息等内容相关的安全问题,均可通过对执行结果数据的扫描检测出来。
在一个实施例中,通过对接口测试请求的第一测试信息(包括测试请求、执行结果数据)进行安全扫描、得到目标安全扫描结果之后,可根据目标安全扫描结果确定目标网络接口是否存在安全漏洞。若存在,则向漏洞管理设备发送针对目标网络接口的漏洞管理请求,该漏洞管理请求中包括目标接口网络的接口标识信息,该漏洞管理请求用于请求漏洞管理设备对目标网络接口存在的安全漏洞进行处理。
在一个实施例中,若确定目标网络接口存在安全漏洞,则可根据安全扫描的扫描对象,确定目标网络接口的漏洞类型,该扫描对象为测试请求信息或执行结果数据。基于此,向漏洞管理设备发送针对目标网络接口的漏洞管理请求时,可将安全漏洞的漏洞类型携带在漏洞管理请求中一并发送至漏洞管理设备,由漏洞管理设备根据安全漏洞的漏洞类型对目标网络接口存在的安全漏洞进行相应处理。
本实施例中,漏洞管理请求中可携带目标接口网络存在的安全漏洞的漏洞信息,如漏洞类型。漏洞类型可基于安全扫描的扫描对象类型来判别,例如,若扫描对象为接口测试请求的请求链接,则漏洞类型可包括未授权访问、跨域访问等;若扫描对象为接口测试请求的测试结果数据(即测试用例的执行结果数据),则漏洞类型可包括敏感信息泄露等。
图2是根据本说明书另一实施例的一种网络接口的安全扫描方法的示意性流程图,如图2所示,该方法包括:
S201,确定目标网络接口的第一功能项对应的测试用例,测试用例包括第一功能项的接口入参数据。
该步骤中,在确定第一功能项的接口入参数据时,可先获取执行测试用例所需的参数,并对获取到的参数进行组装,得到目标网络接口的第一功能项的接口入参数据。通过参数组装过程,不仅可将参数的格式转换为执行测试用例的设备(如测试设备)所能识别的格式,可能够避免获取到的参数过多时存在无用参数,也就是说,从多个参数中将目标网络接口的第一功能项对应的测试用例所需的参数组装起来。
例如,目标网络接口为登录接口,其第一功能项为:输入正确的登录账号和密码即可完成登录操作(即登录功能)。此时可确定登录接口的登录功能对应的测试用例,测试用例中包括的接口入参数据可以是登录账号和密码。
S202,根据测试用例,生成针对目标网络接口的第一功能项的接口测试请求。
其中,接口测试请求包括目标网络接口的接口标识信息和第一功能项对应的测试用例。
S203,基于接口测试请求,执行第一功能项对应的测试用例,得到测试用例的执行结果数据;并对接口测试请求的测试请求信息进行安全扫描,得到第一安全扫描结果。
其中,测试请求信息包括请求链接、请求类型(如get请求、post请求)、接口入参数据等。通过对测试请求信息进行安全扫描,可检测出CSRF、未授权访问等安全问题。
该步骤可采用第一安全扫描策略对测试请求信息进行安全扫描。例如,选择现有的未授权访问检测方式对未授权访问信息进行安全扫描。
需要说明的是,本实施例中,测试请求信息的安全扫描时机是在执行测试用例的同时,即同时对目标网络接口的第一功能项进行测试以及安全扫描。但本说明书实施例并不局限于此执行时机,例如还可在执行测试用例之前或之后对测试请求信息进行安全扫描。
S204,根据第一安全扫描结果,判断目标网络接口是否存在第一功能项对应的安全漏洞。若否,则执行S205;若是,则同时执行S205和S209。
其中,第一功能项对应的安全漏洞,可以理解为目标网络接口在执行第一功能项的对应功能的过程中存在安全漏洞。
S205,解析测试用例的执行结果数据,得到执行结果数据对应的实体数据。
S206,对实体数据进行安全扫描,得到第二安全扫描结果。
该步骤可采用第二安全扫描策略对实体数据进行安全扫描。通过对实体数据进行安全扫描,可检测出与敏感信息等内容相关的安全问题。
S207,根据第二安全扫描结果,判断目标网络接口是否存在第一功能项对应的安全漏洞。若否,则执行S208;若是,则同时执行S208和S209。
其中,第一功能项对应的安全漏洞,可以理解为目标网络接口在执行第一功能项的对应功能的过程中存在安全漏洞。
S208,对实体数据进行逻辑校验,得到目标网络接口对应的接口测试结果。
需要说明的是,本实施例中,执行结果数据对应的实体数据的安全扫描时机是在实体数据的逻辑校验之前,即先对实体数据进行安全扫描,然后再对实体数据进行逻辑校验。但本说明书实施例并不局限于此执行时机,例如还可在实体数据的逻辑校验之前或同时对实体数据进行安全扫描。并且,安全扫描的扫描结果与逻辑校验的校验结果之间可互不影响。
S209,确定目标网络接口存在的安全漏洞的漏洞类型。
漏洞类型可基于安全扫描的扫描对象类型来判别,例如,若扫描对象为接口测试请求的请求链接,则漏洞类型可包括未授权访问、跨域访问等;若扫描对象为接口测试请求的测试结果数据(即测试用例的执行结果数据),则漏洞类型可包括敏感信息泄露等。
S210,向漏洞管理设备发送针对目标网络接口的漏洞管理请求,以使漏洞管理请求对目标网络接口存在的安全漏洞的漏洞类型,对该安全漏洞进行处理。
可见,采用本实施例提供的技术方案,能够使目标网络接口的安全扫描过程被直接融入到自动化测试过程中,在接口测试阶段即可无感知地实现接口的安全扫描,且该安全扫描过程无需人力操作,实现了零人力成本的接口自动化安全检测效果。此外,不同测试信息(如测试请求信息、执行结果数据)的安全扫描过程被融入到不同自动化测试的不同阶段,从而能够针对不同测试信息采用各自对应的安全扫描策略,使得各类测试信息的安全扫描结果更有针对性、且更加准确。再者,通过将目标网络接口的安全扫描过程前置到接口测试阶段,使得接口的部分安全问题能够在接口功能交付之前即可被检测出来,从而能够及早解决接口的安全问题。
图3是根据本说明书再一实施例的一种网络接口的安全扫描方法的示意性流程图。在图3所示实施例中,该方法中的各执行步骤分别由网络接口的安全扫描设备中的多个不同组件完成。其中,网络接口的安全扫描设备中至少包括以下组件:测试框架、参数获取器、请求组装器、请求发送器、结果解析器、结果校验器、漏洞扫描器、漏洞管理器。
如图3所示,针对目标网络接口的安全扫描方法可包括以下步骤:
S1、测试框架通过参数获取器获取执行测试用例所需的参数。
本实施例中,“测试用例”均指目标网络接口的第一功能项对应的测试用例。目标网络接口的第一功能项对应的测试用例可预先编写好。
S2、参数获取器向测试框架返回参数。
S3、测试框架向请求组装器请求参数组装。
其中,测试框架向请求组装器请求参数组装时,还应同时向请求组装器发送目标网络接口的接口标识信息,以使请求组装器能够准确识别并组装目标网络接口对应的参数。
S4、请求组装器向测试框架返回参数组装结果。
其中,参数组装结果即为目标网络接口的第一功能项的接口入参数据。
S5、测试框架向请求发送器发送接口测试请求。
其中,接口测试请求可在获取到目标网络接口的第一功能项的接口入参数据时生成。
S5.1、请求发送器触发漏洞扫描器对接口测试请求的测试请求信息进行安全扫描。
其中,测试请求信息包括请求链接、请求类型(如get请求、post请求)、接口入参数据等。通过对测试请求信息进行安全扫描,可检测出CSRF、未授权访问等安全问题,即第一安全扫描结果。
S5.2、漏洞扫描器向请求发送器返回第一安全扫描结果。
S5.3、若有漏洞,则请求发送器向漏洞管理器发送漏洞管理请求。
其中,漏洞管理请求中可包括目标网络接口存在的安全漏洞的漏洞信息,如漏洞类型。若需要进行接口安全扫描的网络接口包括多个,则漏洞管理请求中还可包括目标网络接口的接口标识信息,从而使漏洞管理器能够基于接口标识信息准确地管理目标网络接口存在的安全漏洞。
漏洞类型可基于安全扫描的扫描对象类型来判别,例如,若扫描对象为接口测试请求的请求链接,则漏洞类型可包括未授权访问、跨域访问等;若扫描对象为接口测试请求的测试结果数据(即测试用例的执行结果数据),则漏洞类型可包括敏感信息泄露等。
S5.4、请求发送器获取接口测试请求对应的执行结果数据。
其中,接口测试请求对应的执行结果数据,即为执行接口测试请求对应的测试用例得到的执行结果数据。
S5.5、请求发送器向测试框架返回执行结果数据。
S6、测试框架触发结果解析器对执行结果数据进行解析,得到实体数据。
S7、结果解析器向测试框架返回实体数据。
S8、测试框架触发结果校验器对实体数据进行逻辑校验。
S8.1、结果校验器触发漏洞扫描器对实体数据进行安全扫描。
其中,通过对实体数据进行安全扫描,可将与敏感信息等内容相关的安全问题检测出来,即第二安全扫描结果。
S8.2、漏洞扫描器向结果校验器返回第二安全扫描结果。
S8.3、若有漏洞,则结果校验器向漏洞管理器发送漏洞管理请求。
其中,漏洞管理请求中可包括目标网络接口存在的安全漏洞的漏洞信息,如漏洞类型、漏洞内容等。若需要进行接口安全扫描的网络接口包括多个,则漏洞管理请求中还可包括目标网络接口的接口标识信息,从而使漏洞管理器能够基于接口标识信息准确地管理目标网络接口存在的安全漏洞。
S8.4、结果校验器向测试框架返回逻辑校验结果。
其中,逻辑校验结果即为目标网络接口的第一功能项对应的接口测试结果。
由本实施例可看出,该技术方案能够使目标网络接口的安全扫描过程被直接融入到自动化测试过程中,如上述S5.1至S5.3、S8.1至S8.3均为被融入到自动化测试过程中的安全扫描过程,从而在接口测试阶段即可无感知地实现接口的安全扫描,实现了零人力成本的接口自动化安全检测效果。并且,不同测试信息(如测试请求信息、实体数据)的安全扫描过程被融入到不同自动化测试的不同阶段,从而能够针对不同测试信息采用各自对应的安全扫描策略(如不同的安全扫描时机和不同的而安全扫描方式等),使得各类测试信息的安全扫描结果更有针对性、且更加准确。再者,通过将目标网络接口的安全扫描过程前置到接口测试阶段,使得接口的部分安全问题能够在接口功能交付之前即可被检测出来,从而能够及早解决接口的安全问题,如将漏洞信息上传至漏洞管理器,由漏洞管理器进行管理。
综上,已经对本主题的特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作可以按照不同的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序,以实现期望的结果。在某些实施方式中,多任务处理和并行处理可以是有利的。
以上为本说明书一个或多个实施例提供的一种网络接口的安全扫描方法,基于同样的思路,本说明书一个或多个实施例还提供一种网络接口的安全扫描装置。
图4是根据本说明书一实施例的一种网络接口的安全扫描装置的示意性框图,如图4所示,网络接口的安全扫描装置包括:
第一确定模块410,确定目标网络接口的第一功能项对应的测试用例;
生成模块420,根据所述测试用例,生成针对所述目标网络接口的所述第一功能项的接口测试请求;所述接口测试请求包括所述目标网络接口的接口标识信息和所述测试用例;
执行模块430,基于所述接口测试请求,执行所述第一功能项对应的所述测试用例,得到所述测试用例的执行结果数据;以及,对所述接口测试请求的第一测试信息进行安全扫描,得到所述第一功能项对应的目标安全扫描结果;所述第一测试信息包括测试请求信息和/或所述执行结果数据。
在一个实施例中,所述目标安全扫描结果包括对所述测试请求信息进行安全扫描得到的第一安全扫描结果;所述测试用例的执行过程与对所述测试请求信息的安全扫描过程为异步线程;
所述执行模块430包括:
第一安全扫描单元,在执行所述第一功能项对应的所述测试用例之前、同时或之后,对所述测试请求信息进行安全扫描,得到所述第一安全扫描结果;所述测试请求信息包括请求链接、请求类型、所述接口入参数据中的至少一项。
在一个实施例中,所述装置还包括:
解析模块,对所述执行结果数据进行解析,得到所述执行结果数据对应的实体数据;
校验模块,对所述实体数据进行逻辑校验,得到所述第一功能项对应的接口测试结果。
在一个实施例中,所述目标安全扫描结果包括对所述实体数据进行安全扫描得到的第二安全扫描结果;所述对所述实体数据的逻辑校验过程与对所述实体数据的安全扫描过程为异步线程;
所述执行模块430包括:
第二安全扫描单元,在对所述实体数据进行逻辑校验之前、同时或之后,对所述实体数据进行安全扫描,得到所述第二安全扫描结果。
在一个实施例中,所述执行模块430包括:
第三安全扫描单元,采用第一安全扫描策略对所述测试请求信息进行安全扫描;和/或,
第四安全扫描单元,采用第二安全扫描策略对所述执行结果数据进行安全扫描。
在一个实施例中,所述装置还包括:
第二确定模块,根据所述目标安全扫描结果,确定所述目标网络接口是否存在安全漏洞;
发送模块,若是,则向漏洞管理设备发送针对所述目标网络接口的漏洞管理请求;所述漏洞管理请求中包括所述目标接口网络的接口标识信息;所述漏洞管理请求用于请求所述漏洞管理设备对所述目标网络接口存在的安全漏洞进行处理。
在一个实施例中,所述漏洞管理请求还包括所述安全漏洞的漏洞类型;
所述装置还包括:
第三确定模块,所述向漏洞管理设备发送针对所述目标网络接口的漏洞管理请求之前,根据所述安全扫描的扫描对象,确定所述目标网络接口的漏洞类型;其中,所述扫描对象为所述测试请求信息或所述执行结果数据。
采用本说明书一个或多个实施例的装置,通过目标网络接口的第一功能项对应的测试用例,生成针对目标网络接口的第一功能项的接口测试请求后,能够基于测试接口测试请求执行第一功能项对应的测试用例,得到测试用例的执行结果数据;并对接口测试请求的第一测试信息(包括测试请求信息和/或执行结果数据)进行安全扫描,得到第一功能项对应的目标安全扫描结果。使得目标网络接口的安全扫描过程被直接融入到自动化测试过程中,在接口测试阶段即可无感知地实现接口的安全扫描,且该安全扫描过程无需人力操作,实现了零人力成本的接口自动化安全检测效果。此外,通过将目标网络接口的安全扫描过程前置到接口测试阶段,使得接口的部分安全问题能够在接口功能交付之前即可被检测出来,从而能够及早解决接口的安全问题。
本领域的技术人员应可理解,上述网络接口的安全扫描装置能够用来实现前文所述的网络接口的安全扫描方法,其中的细节描述应与前文方法部分描述类似,为避免繁琐,此处不另赘述。
基于同样的思路,本说明书一个或多个实施例还提供一种网络接口的安全扫描设备。
图5是根据本说明书一实施例的一种网络接口的安全扫描系统的示意性框图,如图5所示,网络接口的安全扫描系统包括:
接口测试设备510,确定目标网络接口的第一功能项对应的测试用例;根据所述测试用例,生成针对所述目标网络接口的所述第一功能项的接口测试请求,将所述接口测试请求发送至安全扫描设备520;所述接口测试请求包括所述目标网络接口的接口标识信息和所述测试用例;基于所述接口测试请求,执行所述第一功能项对应的所述测试用例,得到所述测试用例的执行结果数据;
所述安全扫描设备520,基于所述接口测试设备发送的所述接口测试请求,对所述接口测试请求的第一测试信息进行安全扫描,得到所述第一功能项对应的目标安全扫描结果;所述第一测试信息包括测试请求信息和/或所述执行结果数据。
在一个实施例中,所述目标安全扫描结果包括对所述测试请求信息进行安全扫描得到的第一安全扫描结果;所述测试用例的执行过程与对所述测试请求信息的安全扫描过程为异步线程;
所述安全扫描设备520,在所述接口测试设备510执行所述第一功能项对应的所述测试用例之前、同时或之后,对所述测试请求信息进行安全扫描,得到所述第一安全扫描结果;所述测试请求信息包括请求链接、请求类型、所述接口入参数据中的至少一项。
在一个实施例中,所述接口测试设备510,对所述执行结果数据进行解析,得到所述执行结果数据对应的实体数据;对所述实体数据进行逻辑校验,得到所述第一功能项对应的接口测试结果,以及将所述实体数据发送至所述安全扫描数据;
所述安全扫描设备520,在所述接口测试设备510对所述实体数据进行逻辑校验之前、同时或之后,对所述实体数据进行安全扫描,得到第二安全扫描结果。
在一个实施例中,所述安全扫描设备520,采用第一安全扫描策略对所述测试请求信息进行安全扫描;和/或,采用第二安全扫描策略对所述执行结果数据进行安全扫描。
在一个实施例中,如同6所示,网络接口的安全扫描系统还包括漏洞管理设备530;
所述安全扫描设备520,根据所述目标安全扫描结果,确定所述目标网络接口是否存在安全漏洞;若是,则向所述漏洞管理设备530发送针对所述目标网络接口的漏洞管理请求;所述漏洞管理请求中包括所述目标接口网络的接口标识信息;
所述漏洞管理设备530,基于所述漏洞管理请求,对所述目标网络接口存在的安全漏洞进行处理。
在一个实施例中,所述安全扫描设备520,若确定所述目标网络接口存在安全漏洞,则向所述接口测试设备510发送安全扫描结果,并由所述接口测试设备510向漏洞管理设备530发送针对所述目标网络接口的漏洞管理请求;所述漏洞管理请求中包括所述目标接口网络的接口标识信息;
所述漏洞管理设备530,基于所述漏洞管理请求,对所述目标网络接口存在的安全漏洞进行处理。
采用本说明书一个或多个实施例的系统,通过目标网络接口的第一功能项对应的测试用例,生成针对目标网络接口第一功能项的的接口测试请求后,能够基于测试接口测试请求执行第一功能项对应的测试用例,得到测试用例的执行结果数据;并对接口测试请求的第一测试信息(包括测试请求信息和/或执行结果数据)进行安全扫描,得到第一功能项对应的目标安全扫描结果。使得目标网络接口的安全扫描过程被直接融入到自动化测试过程中,在接口测试阶段即可无感知地实现接口的安全扫描,且该安全扫描过程无需人力操作,实现了零人力成本的接口自动化安全检测效果。此外,通过将目标网络接口的安全扫描过程前置到接口测试阶段,使得接口的部分安全问题能够在接口功能交付之前即可被检测出来,从而能够及早解决接口的安全问题。
本领域的技术人员应可理解,上述网络接口的安全扫描系统能够用来实现前文所述的网络接口的安全扫描方法,其中的细节描述应与前文方法部分描述类似,为避免繁琐,此处不另赘述。
基于同样的思路,本说明书一个或多个实施例还提供一种网络接口的安全扫描设备,如图7所示。网络接口的安全扫描设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上的处理器701和存储器702,存储器702中可以存储有一个或一个以上存储应用程序或数据。其中,存储器702可以是短暂存储或持久存储。存储在存储器702的应用程序可以包括一个或一个以上模块(图示未示出),每个模块可以包括对网络接口的安全扫描设备中的一系列计算机可执行指令。更进一步地,处理器701可以设置为与存储器702通信,在网络接口的安全扫描设备上执行存储器702中的一系列计算机可执行指令。网络接口的安全扫描设备还可以包括一个或一个以上电源703,一个或一个以上有线或无线网络接口704,一个或一个以上输入输出接口705,一个或一个以上键盘706。
具体在本实施例中,网络接口的安全扫描设备包括有存储器,以及一个或一个以上的程序,其中一个或者一个以上程序存储于存储器中,且一个或者一个以上程序可以包括一个或一个以上模块,且每个模块可以包括对网络接口的安全扫描设备中的一系列计算机可执行指令,且经配置以由一个或者一个以上处理器执行该一个或者一个以上程序包含用于进行以下计算机可执行指令:
确定目标网络接口的第一功能项对应的测试用例;所述测试用例包括所述第一功能项的接口入参数据;
根据所述测试用例,生成针对所述目标网络接口的所述第一功能项的接口测试请求;所述接口测试请求包括所述目标网络接口的接口标识信息和所述测试用例;
基于所述接口测试请求,执行所述第一功能项对应的所述测试用例,得到所述测试用例的执行结果数据;以及,对所述接口测试请求的第一测试信息进行安全扫描,得到所述第一功能项对应的目标安全扫描结果;所述第一测试信息包括测试请求信息和/或所述执行结果数据。
可选地,所述目标安全扫描结果包括对所述测试请求信息进行安全扫描得到的第一安全扫描结果;所述测试用例的执行过程与对所述测试请求信息的安全扫描过程为异步线程;
计算机可执行指令在被执行时,还可以使所述处理器:
在执行所述第一功能项对应的所述测试用例之前、同时或之后,对所述测试请求信息进行安全扫描,得到所述第一安全扫描结果;所述测试请求信息包括请求链接、请求类型、所述接口入参数据中的至少一项。
可选地,计算机可执行指令在被执行时,还可以使所述处理器:
对所述执行结果数据进行解析,得到所述执行结果数据对应的实体数据;
对所述实体数据进行逻辑校验,得到所述第一功能项对应的接口测试结果。
可选地,所述目标安全扫描结果包括对所述实体数据进行安全扫描得到的第二安全扫描结果;所述对所述实体数据的逻辑校验过程与对所述实体数据的安全扫描过程为异步线程;
计算机可执行指令在被执行时,还可以使所述处理器:
在对所述实体数据进行逻辑校验之前、同时或之后,对所述实体数据进行安全扫描,得到所述第二安全扫描结果。
可选地,计算机可执行指令在被执行时,还可以使所述处理器:
采用第一安全扫描策略对所述测试请求信息进行安全扫描;和/或,
采用第二安全扫描策略对所述执行结果数据进行安全扫描。
可选地,计算机可执行指令在被执行时,还可以使所述处理器:
根据所述目标安全扫描结果,确定所述目标网络接口是否存在安全漏洞;
若是,则向漏洞管理设备发送针对所述目标网络接口的漏洞管理请求;所述漏洞管理请求中包括所述目标接口网络的接口标识信息;所述漏洞管理请求用于请求所述漏洞管理设备对所述目标网络接口存在的安全漏洞进行处理。
可选地,所述漏洞管理请求还包括所述安全漏洞的漏洞类型;
计算机可执行指令在被执行时,还可以使所述处理器:
向漏洞管理设备发送针对所述目标网络接口的漏洞管理请求之前,根据所述安全扫描的扫描对象,确定所述目标网络接口的漏洞类型;其中,所述扫描对象为所述测试请求信息或所述执行结果数据。
本说明书一个或多个实施例还提出了一种计算机可读存储介质,该计算机可读存储介质存储一个或多个程序,该一个或多个程序包括指令,该指令当被包括多个应用程序的电子设备执行时,能够使该电子设备执行上述网络接口的安全扫描方法,并具体用于执行:
确定目标网络接口的第一功能项对应的测试用例;所述测试用例包括所述第一功能项的接口入参数据;
根据所述测试用例,生成针对所述目标网络接口的所述第一功能项的接口测试请求;所述接口测试请求包括所述目标网络接口的接口标识信息和所述测试用例;
基于所述接口测试请求,执行所述第一功能项对应的所述测试用例,得到所述测试用例的执行结果数据;以及,对所述接口测试请求的第一测试信息进行安全扫描,得到所述第一功能项对应的目标安全扫描结果;所述第一测试信息包括测试请求信息和/或所述执行结果数据。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本说明书一个或多个实施例时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本说明书一个或多个实施例可提供为方法、系统、或计算机程序产品。因此,本说明书一个或多个实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本说明书一个或多个实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书一个或多个实施例是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本说明书一个或多个实施例可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本说明书一个或多个实施例而已,并不用于限制本说明书。对于本领域技术人员来说,本说明书一个或多个实施例可以有各种更改和变化。凡在本说明书一个或多个实施例的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书一个或多个实施例的权利要求范围之内。
Claims (14)
1.一种网络接口的安全扫描方法,包括:
确定目标网络接口的第一功能项对应的测试用例;所述测试用例包括所述第一功能项的接口入参数据;
根据所述测试用例,生成针对所述目标网络接口的所述第一功能项的接口测试请求;所述接口测试请求包括所述目标网络接口的接口标识信息和所述测试用例;
基于所述接口测试请求,执行所述第一功能项对应的所述测试用例,得到所述测试用例的执行结果数据;以及,对所述接口测试请求的第一测试信息进行安全扫描,得到所述第一功能项对应的目标安全扫描结果;所述第一测试信息包括测试请求信息和/或所述执行结果数据;
还包括:
对所述执行结果数据进行解析,得到所述执行结果数据对应的实体数据;
对所述实体数据进行逻辑校验,得到所述第一功能项对应的接口测试结果;
所述目标安全扫描结果包括对所述实体数据进行安全扫描得到的第二安全扫描结果;所述对所述实体数据的逻辑校验过程与对所述实体数据的安全扫描过程为异步线程;
所述对所述接口测试请求的第一测试信息进行安全扫描,得到所述第一功能项对应的目标安全扫描结果,包括:
在对所述实体数据进行逻辑校验之前、同时或之后,对所述实体数据进行安全扫描,得到所述第二安全扫描结果。
2.根据权利要求1所述的方法,所述目标安全扫描结果包括对所述测试请求信息进行安全扫描得到的第一安全扫描结果;所述测试用例的执行过程与对所述测试请求信息的安全扫描过程为异步线程;
所述对所述接口测试请求的第一测试信息进行安全扫描,得到所述第一功能项对应的目标安全扫描结果,包括:
在执行所述第一功能项对应的所述测试用例之前、同时或之后,对所述测试请求信息进行安全扫描,得到所述第一安全扫描结果;所述测试请求信息包括请求链接、请求类型、所述接口入参数据中的至少一项。
3.根据权利要求1所述的方法,所述对所述接口测试请求的第一测试信息进行安全扫描,包括:
采用第一安全扫描策略对所述测试请求信息进行安全扫描;和/或,
采用第二安全扫描策略对所述执行结果数据进行安全扫描。
4.根据权利要求1所述的方法,还包括:
根据所述目标安全扫描结果,确定所述目标网络接口是否存在安全漏洞;
若是,则向漏洞管理设备发送针对所述目标网络接口的漏洞管理请求;所述漏洞管理请求中包括所述目标接口网络的接口标识信息;所述漏洞管理请求用于请求所述漏洞管理设备对所述目标网络接口存在的安全漏洞进行处理。
5.根据权利要求4所述的方法,所述漏洞管理请求还包括所述安全漏洞的漏洞类型;
所述向漏洞管理设备发送针对所述目标网络接口的漏洞管理请求之前,还包括:
根据所述安全扫描的扫描对象,确定所述目标网络接口的漏洞类型;其中,所述扫描对象为所述测试请求信息或所述执行结果数据。
6.一种网络接口的安全扫描装置,包括:
第一确定模块,确定目标网络接口的第一功能项对应的测试用例;所述测试用例包括所述第一功能项的接口入参数据;
生成模块,根据所述测试用例,生成针对所述目标网络接口的所述第一功能项的接口测试请求;所述接口测试请求包括所述目标网络接口的接口标识信息和所述测试用例;
执行模块,基于所述接口测试请求,执行所述第一功能项对应的所述测试用例,得到所述测试用例的执行结果数据;以及,对所述接口测试请求的第一测试信息进行安全扫描,得到所述第一功能项对应的目标安全扫描结果;所述第一测试信息包括测试请求信息和/或所述执行结果数据;
还包括:
解析模块,对所述执行结果数据进行解析,得到所述执行结果数据对应的实体数据;
校验模块,对所述实体数据进行逻辑校验,得到所述第一功能项对应的接口测试结果;
所述目标安全扫描结果包括对所述实体数据进行安全扫描得到的第二安全扫描结果;所述对所述实体数据的逻辑校验过程与对所述实体数据的安全扫描过程为异步线程;
所述执行模块包括:
第二安全扫描单元,在对所述实体数据进行逻辑校验之前、同时或之后,对所述实体数据进行安全扫描,得到所述第二安全扫描结果。
7.根据权利要求6所述的装置,所述目标安全扫描结果包括对所述测试请求信息进行安全扫描得到的第一安全扫描结果;所述测试用例的执行过程与对所述测试请求信息的安全扫描过程为异步线程;
所述执行模块包括:
第一安全扫描单元,在执行所述第一功能项对应的所述测试用例之前、同时或之后,对所述测试请求信息进行安全扫描,得到所述第一安全扫描结果;所述测试请求信息包括请求链接、请求类型、所述接口入参数据中的至少一项。
8.根据权利要求6所述的装置,所述执行模块包括:
第三安全扫描单元,采用第一安全扫描策略对所述测试请求信息进行安全扫描;和/或,
第四安全扫描单元,采用第二安全扫描策略对所述执行结果数据进行安全扫描。
9.一种网络接口的安全扫描系统,包括:
接口测试设备,确定目标网络接口的第一功能项对应的测试用例;所述测试用例包括所述第一功能项的接口入参数据;根据所述测试用例,生成针对所述目标网络接口的所述第一功能项的接口测试请求,将所述接口测试请求发送至安全扫描设备;所述接口测试请求包括所述目标网络接口的接口标识信息和所述测试用例;基于所述接口测试请求,执行所述第一功能项对应的所述测试用例,得到所述测试用例的执行结果数据;所述安全扫描设备,基于所述接口测试设备发送的所述接口测试请求,对所述接口测试请求的第一测试信息进行安全扫描,得到所述第一功能项对应的目标安全扫描结果;所述第一测试信息包括测试请求信息和/或所述执行结果数据;
所述接口测试设备,对所述执行结果数据进行解析,得到所述执行结果数据对应的实体数据;对所述实体数据进行逻辑校验,得到所述第一功能项对应的接口测试结果,以及将所述实体数据发送至所述安全扫描数据;
所述安全扫描设备,在所述接口测试设备对所述实体数据进行逻辑校验之前、同时或之后,对所述实体数据进行安全扫描,得到第二安全扫描结果。
10.根据权利要求9所述的系统,所述目标安全扫描结果包括对所述测试请求信息进行安全扫描得到的第一安全扫描结果;所述测试用例的执行过程与对所述测试请求信息的安全扫描过程为异步线程;
所述安全扫描设备,在所述接口测试设备执行所述第一功能项对应的所述测试用例之前、同时或之后,对所述测试请求信息进行安全扫描,得到所述第一安全扫描结果;所述测试请求信息包括请求链接、请求类型、所述接口入参数据中的至少一项。
11.根据权利要求9所述的系统,所述安全扫描设备,采用第一安全扫描策略对所述测试请求信息进行安全扫描;和/或,采用第二安全扫描策略对所述执行结果数据进行安全扫描。
12.根据权利要求9所述的系统,还包括漏洞管理设备;
所述安全扫描设备,根据所述目标安全扫描结果,确定所述目标网络接口是否存在安全漏洞;若是,则向所述漏洞管理设备发送针对所述目标网络接口的漏洞管理请求;所述漏洞管理请求中包括所述目标接口网络的接口标识信息;
所述漏洞管理设备,基于所述漏洞管理请求,对所述目标网络接口存在的安全漏洞进行处理。
13.一种网络接口的安全扫描设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
确定目标网络接口的第一功能项对应的测试用例;所述测试用例包括所述第一功能项的接口入参数据;
根据所述测试用例,生成针对所述目标网络接口的所述第一功能项的接口测试请求;所述接口测试请求包括所述目标网络接口的接口标识信息和所述测试用例;
基于所述接口测试请求,执行所述第一功能项对应的所述测试用例,得到所述测试用例的执行结果数据;以及,对所述接口测试请求的第一测试信息进行安全扫描,得到所述第一功能项对应的目标安全扫描结果;所述第一测试信息包括测试请求信息和/或所述执行结果数据;
对所述执行结果数据进行解析,得到所述执行结果数据对应的实体数据;
对所述实体数据进行逻辑校验,得到所述第一功能项对应的接口测试结果;
所述目标安全扫描结果包括对所述实体数据进行安全扫描得到的第二安全扫描结果;所述对所述实体数据的逻辑校验过程与对所述实体数据的安全扫描过程为异步线程;
所述对所述接口测试请求的第一测试信息进行安全扫描,得到所述第一功能项对应的目标安全扫描结果,包括:
在对所述实体数据进行逻辑校验之前、同时或之后,对所述实体数据进行安全扫描,得到所述第二安全扫描结果。
14.一种存储介质,用于存储计算机可执行指令,所述可执行指令在被执行时实现以下流程:
确定目标网络接口的第一功能项对应的测试用例;所述测试用例包括所述第一功能项的接口入参数据;
根据所述测试用例,生成针对所述目标网络接口的所述第一功能项的接口测试请求;所述接口测试请求包括所述目标网络接口的接口标识信息和所述测试用例;
基于所述接口测试请求,执行所述第一功能项对应的所述测试用例,得到所述测试用例的执行结果数据;以及,对所述接口测试请求的第一测试信息进行安全扫描,得到所述第一功能项对应的目标安全扫描结果;所述第一测试信息包括测试请求信息和/或所述执行结果数据;
对所述执行结果数据进行解析,得到所述执行结果数据对应的实体数据;
对所述实体数据进行逻辑校验,得到所述第一功能项对应的接口测试结果;
所述目标安全扫描结果包括对所述实体数据进行安全扫描得到的第二安全扫描结果;所述对所述实体数据的逻辑校验过程与对所述实体数据的安全扫描过程为异步线程;
所述对所述接口测试请求的第一测试信息进行安全扫描,得到所述第一功能项对应的目标安全扫描结果,包括:
在对所述实体数据进行逻辑校验之前、同时或之后,对所述实体数据进行安全扫描,得到所述第二安全扫描结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010883849.3A CN112019544B (zh) | 2020-08-28 | 2020-08-28 | 网络接口的安全扫描方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010883849.3A CN112019544B (zh) | 2020-08-28 | 2020-08-28 | 网络接口的安全扫描方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112019544A CN112019544A (zh) | 2020-12-01 |
| CN112019544B true CN112019544B (zh) | 2022-10-11 |
Family
ID=73503194
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010883849.3A Active CN112019544B (zh) | 2020-08-28 | 2020-08-28 | 网络接口的安全扫描方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112019544B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112653674B (zh) * | 2020-12-10 | 2023-01-10 | 奇安信网神信息技术(北京)股份有限公司 | 接口安全性检测方法、装置、电子设备与存储介质 |
| CN117435508B (zh) * | 2023-12-20 | 2024-04-02 | 深圳市智慧城市科技发展集团有限公司 | 接口测试方法、装置、设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109241735A (zh) * | 2018-09-27 | 2019-01-18 | 四川长虹电器股份有限公司 | 一种基于漏洞扫描平台的持续集成方法 |
| CN109376078A (zh) * | 2018-09-25 | 2019-02-22 | 平安普惠企业管理有限公司 | 移动应用的测试方法、终端设备及介质 |
| CN110348216A (zh) * | 2019-05-24 | 2019-10-18 | 中国科学院信息工程研究所 | 一种针对云计算系统虚拟设备的模糊测试方法及系统 |
| CN110928774A (zh) * | 2019-11-07 | 2020-03-27 | 杭州顺网科技股份有限公司 | 一种基于节点式的自动化测试系统 |
| CN111163067A (zh) * | 2019-12-18 | 2020-05-15 | 支付宝(杭州)信息技术有限公司 | 一种安全测试方法、装置及电子设备 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105095066B (zh) * | 2014-05-21 | 2018-09-18 | 腾讯科技(深圳)有限公司 | 安全漏洞检测方法及装置 |
| CN106294162B (zh) * | 2016-08-12 | 2019-03-05 | 江苏大学 | 一种基于数据挖掘的第三方构件安全性测试方法 |
| US10447734B2 (en) * | 2016-11-11 | 2019-10-15 | Rapid7, Inc. | Monitoring scan attempts in a network |
| CN108153661A (zh) * | 2016-12-05 | 2018-06-12 | 腾讯科技(深圳)有限公司 | 执行测试用例的方法和装置 |
| CN109522202B (zh) * | 2017-09-18 | 2022-03-04 | 北京京东尚科信息技术有限公司 | 一种软件测试的方法和装置 |
| US10630718B2 (en) * | 2018-11-27 | 2020-04-21 | BehavioSec Inc | Detection of remote fraudulent activity in a client-server-system |
| CN110659201A (zh) * | 2019-07-26 | 2020-01-07 | 合肥森弗卡电子科技有限公司 | 一种安全技术防范工程智能测试分析系统 |
| CN110704847B (zh) * | 2019-09-27 | 2021-09-10 | 重庆紫光华山智安科技有限公司 | 漏洞扫描方法及相关装置 |
| CN110765464A (zh) * | 2019-10-30 | 2020-02-07 | 深圳前海微众银行股份有限公司 | 漏洞检测方法、装置、设备及计算机存储介质 |
-
2020
- 2020-08-28 CN CN202010883849.3A patent/CN112019544B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109376078A (zh) * | 2018-09-25 | 2019-02-22 | 平安普惠企业管理有限公司 | 移动应用的测试方法、终端设备及介质 |
| CN109241735A (zh) * | 2018-09-27 | 2019-01-18 | 四川长虹电器股份有限公司 | 一种基于漏洞扫描平台的持续集成方法 |
| CN110348216A (zh) * | 2019-05-24 | 2019-10-18 | 中国科学院信息工程研究所 | 一种针对云计算系统虚拟设备的模糊测试方法及系统 |
| CN110928774A (zh) * | 2019-11-07 | 2020-03-27 | 杭州顺网科技股份有限公司 | 一种基于节点式的自动化测试系统 |
| CN111163067A (zh) * | 2019-12-18 | 2020-05-15 | 支付宝(杭州)信息技术有限公司 | 一种安全测试方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112019544A (zh) | 2020-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10142370B2 (en) | Methods and apparatus for generating and using security assertions associated with containers in a computing environment | |
| US9177155B2 (en) | Hybrid analysis of vulnerable information flows | |
| US10432662B2 (en) | Method and system for blocking malicious third party site tagging | |
| CN104331662B (zh) | Android恶意应用检测方法及装置 | |
| CN110929264B (zh) | 漏洞检测方法、装置、电子设备及可读存储介质 | |
| CN108256322B (zh) | 安全测试方法、装置、计算机设备和存储介质 | |
| CN109308263B (zh) | 一种小程序测试方法、装置及设备 | |
| CN112019544B (zh) | 网络接口的安全扫描方法、装置及系统 | |
| US11888885B1 (en) | Automated security analysis of software libraries | |
| KR101902747B1 (ko) | 클라이언트 측 웹 취약점 분석 방법 및 장치 | |
| US20120131668A1 (en) | Policy-Driven Detection And Verification Of Methods Such As Sanitizers And Validators | |
| CN105991554A (zh) | 漏洞检测方法和设备 | |
| CN109302423B (zh) | 一种漏洞扫描能力测试方法和装置 | |
| CN110782374A (zh) | 基于区块链的电子取证方法及系统 | |
| CN117579395A (zh) | 一种应用人工智能进行网络安全漏洞扫描的方法及系统 | |
| CN113162937A (zh) | 应用安全自动化检测方法、系统、电子设备及存储介质 | |
| CN111241547B (zh) | 一种越权漏洞的检测方法、装置及系统 | |
| Wongwiwatchai et al. | Comprehensive detection of vulnerable personal information leaks in android applications | |
| CN116541847A (zh) | 一种应用程序的安全检测方法及装置 | |
| CN113591079A (zh) | 获取异常应用安装包的方法、装置及电子设备 | |
| CN115051824A (zh) | 一种垂直越权检测方法、系统、设备及存储介质 | |
| Basso et al. | Analysis of the effect of Java software faults on security vulnerabilities and their detection by commercial web vulnerability scanner tool | |
| Backman | Why is security still an issue?: A study comparing developers’ software security awareness to existing vulnerabilities in software applications | |
| CN117435508B (zh) | 接口测试方法、装置、设备及存储介质 | |
| CN115329343B (zh) | 一种信息安全漏洞的处理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40041492 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |