CN112671605A - 一种测试方法、装置及电子设备 - Google Patents
一种测试方法、装置及电子设备 Download PDFInfo
- Publication number
- CN112671605A CN112671605A CN202011485053.9A CN202011485053A CN112671605A CN 112671605 A CN112671605 A CN 112671605A CN 202011485053 A CN202011485053 A CN 202011485053A CN 112671605 A CN112671605 A CN 112671605A
- Authority
- CN
- China
- Prior art keywords
- request message
- target interface
- test
- tested
- response message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Abstract
本说明书实施例提供一种测试方法、装置及电子设备,所述方法包括:抓取待测系统向目标接口发送的请求报文;所述请求报文基于安全校验项生成;所述安全校验项表示所述待测系统所要校验的安全风险;在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;将所述响应报文与所述请求报文的预期响应报文进行对比,基于对比结果得到所述待测系统的测试结果,从而实现自动化测试,减少测试人员的工作量,提高测试效率。
Description
技术领域
本说明书实施例涉及计算机技术领域,特别涉及一种测试方法、装置及电子设备。
背景技术
在金融科技高速发展的今天,金融与科技、金融与互联网相辅相成,相互促进、共同发展已成为当下流行的趋势,尤其是银行业也正从传统的柜台业务向互联网业务办理转型,无论是内网交易还是外网交易都面临着用户数据被窃取,用户权限被破解等危害极大的风险,所以后端服务对接口做安全校验,对权限严格控制是必须的措施,但是一个庞大的系统要做这么多安全测试对于安全测试人员来说工作量巨大,所以研发一款自动化接口测试很有必要。
目前的接口测试主要是主要是人工手动测试或者半自动化测试,或者针对每个系统开发一个测试工具。例如可以将不同产品的代码放在一个大工程下扫描,通过自定义扫描规则集将可能有关联的产品源代码通过模式匹配截获出来。
但是,目前的接口测试方法,在测试后仍需要人工进行复核。例如,自定义扫描规则集的编写与匹配能力与代码审计人员的经验能力高度相关,使得,通过上述方式匹配截取的问题仍然需要人工进行复核。
现有的接口测试方式需要对代码扫描工具分析的结果逐一进行人工的复核,耗时耗力,而且测试和分析结果准确率不够高,容易出现误差。
发明内容
本说明书实施例的目的是提供一种测试方法、装置及电子设备,以实现自动化测试,减少测试人员的工作量,提高测试效率。
为解决上述问题,本说明书实施例提供一种测试方法,所述方法包括:抓取待测系统向目标接口发送的请求报文;所述请求报文基于安全校验项生成;所述安全校验项表示所述待测系统所要校验的安全风险;在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;将所述响应报文与所述请求报文的预期响应报文进行对比,基于对比结果得到所述待测系统的测试结果。
为解决上述问题,本说明书实施例还提供一种测试装置,所述装置包括:抓取模块,用于抓取待测系统向目标接口发送的请求报文;所述请求报文基于安全校验项生成;所述安全校验项表示所述待测系统所要校验的安全风险;发送模块,用于在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;对比模块,用于将所述响应报文与所述请求报文的预期响应报文进行对比,基于对比结果得到所述待测系统的测试结果。
为解决上述问题,本说明书实施例还提供一种电子设备,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序以实现:抓取待测系统向目标接口发送的请求报文;所述请求报文基于安全校验项生成;所述安全校验项表示所述待测系统所要校验的安全风险;在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;将所述响应报文与所述请求报文的预期响应报文进行对比,基于对比结果得到所述待测系统的测试结果。
为解决上述问题,本说明书实施例还提供一种测试方法,所述方法包括:抓取待测系统向目标接口发送的请求报文;所述请求报文包括请求用户的身份凭证;在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;在所述响应报文包括身份认证失败信息的情况下,确定所述待测系统通过测试。
为解决上述问题,本说明书实施例还提供一种测试装置,所述装置包括:抓取模块,用于抓取待测系统向目标接口发送的请求报文;所述请求报文包括请求用户的身份凭证;发送模块,用于在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;确定模块,用于在所述响应报文包括身份认证失败信息的情况下,确定所述待测系统通过测试。
为解决上述问题,本说明书实施例还提供一种电子设备,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序以实现:抓取待测系统向目标接口发送的请求报文;所述请求报文包括请求用户的身份凭证;在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;在所述响应报文包括身份认证失败信息的情况下,确定所述待测系统通过测试。
为解决上述问题,本说明书实施例还提供一种测试方法,所述方法包括:抓取待测系统向目标接口发送的请求报文;所述请求报文包括获取通过待测系统向目标接口发送请求报文的用户的数据操作权限;在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;在所述响应报文包括请求失败信息的情况下,确定所述待测系统通过测试。
为解决上述问题,本说明书实施例还提供一种测试装置,所述装置包括:抓取模块,用于抓取待测系统向目标接口发送的请求报文;所述请求报文包括获取通过待测系统向目标接口发送请求报文的用户的数据操作权限;发送模块,用于在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;确定模块,用于在所述响应报文包括请求失败信息的情况下,确定所述待测系统通过测试。
为解决上述问题,本说明书实施例还提供一种电子设备,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序以实现:抓取待测系统向目标接口发送的请求报文;所述请求报文包括获取通过待测系统向目标接口发送请求报文的用户的数据操作权限;在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;在所述响应报文包括请求失败信息的情况下,确定所述待测系统通过测试。
由以上本说明书实施例提供的技术方案可见,本说明书实施例中,可以抓取待测系统向目标接口发送的请求报文;所述请求报文基于安全校验项生成;所述安全校验项表示所述待测系统所要校验的安全风险;在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;将所述响应报文与所述请求报文的预期响应报文进行对比,基于对比结果得到所述待测系统的测试结果,从而实现自动化测试,减少测试人员的工作量,提高测试效率。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本说明书实施例一种测试系统的结构示意图;
图2为本说明书实施例一种测试方法的流程图;
图3为本说明书实施例一种测试方法的流程图;
图4为本说明书实施例一种测试方法的流程图;
图5为本说明书实施例一种电子设备的功能结构示意图;
图6为本说明书实施例一种测试装置的功能结构示意图;
图7为本说明书实施例一种测试装置的功能结构示意图;
图8为本说明书实施例一种测试装置的功能结构示意图。
具体实施方式
下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本说明书保护的范围。
为了更好地理解本说明书实施例的发明构思,首先介绍本说明书实施例一种一种测试系统。如图1所示,所述测试系统可以包括待测系统110、目标接口120和测试设备130。
在一些实施例中,所述待测系统110可以是由具有逻辑运算功能的电子设备组成的系统,所述电子设备可以是服务器。所述服务器可以具有网络通信单元、处理器和存储器等。当然,所述服务器并不限于上述具有一定实体的电子设备,其还可以为运行于上述电子设备中的软体。所述服务器还可以为分布式服务器,可以是具有多个处理器、存储器、网络通信模块等协同运作的系统。或者,服务器还可以为若干服务器形成的服务器集群。
所述待测系统110可以向目标接口120发送请求报文,所述请求报文中包括所述待测系统所要请求的服务内容。
在一些实施例中,所述目标接口可以是应用程序接口。所述应用程序接口(Application Programming Interface,API)是一些预先定义的接口(如函数、HTTP接口),或指软件系统不同组成部分衔接的约定。用来提供应用程序与开发人员基于某软件或硬件得以访问的一组例程,而又无需访问源码,或理解内部工作机制的细节。所述目标接口120可以根据所述请求报文为所述待测系统提供服务,并返回相应的响应报文。
在一些实施例中,所述测试设备130可以是具有逻辑运算功能的电子设备,所述电子设备可以是服务器。所述服务器可以是具有一定运算处理能力的电子设备。其可以具有网络通信单元、处理器和存储器等。当然,所述服务器并不限于上述具有一定实体的电子设备,其还可以为运行于上述电子设备中的软体。所述服务器还可以为分布式服务器,可以是具有多个处理器、存储器、网络通信模块等协同运作的系统。或者,服务器还可以为若干服务器形成的服务器集群。
所述测试设备130可以抓取所述待测系统110向所述目标接口120发送的请求报文,将抓取到的报文存储到数据库中,然后模拟登录所述待测系统110,以获得与所述目标接口120通信的权限。在获取与所述目标接口120通信的权限的情况下,从数据库中取出所述请求报文,并将所述请求报文发送至所述目标接口,获得所述目标接口120基于所述请求报文返回的响应报文,将所述响应报文与所述请求报文的预期响应报文进行对比,基于对比结果得到所述待测系统的测试结果。
基于上述测试系统,介绍本说明书实施例一种测试方法。所述测试方法的执行主体为所述测试设备130。如图2所示,所述测试方法可以包括以下具体实施步骤。
S210:抓取待测系统向目标接口发送的请求报文;所述请求报文基于安全校验项生成;所述安全校验项表示所述待测系统所要校验的安全风险。
在一些实施例中,首先可以确定待测系统所要检验的安全风险,配置需要检验的安全校验项,可以将所述安全校验项写入配置文件中,以便于动态更改所述安全校验项。例如在增加所要检验的安全风险时,可以将新增的安全校验项写入配置文件中,在减少所要检验的安全风险时,可以将需要减少的安全校验项从配置文件中删除。
在一些实施例中,所述安全校验项可以包括重放攻击和越权攻击。
所述重放攻击(Replay Attacks)又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。重放攻击在任何网络通过程中都可能发生,是计算机世界黑客常用的攻击方式之一。
所述越权攻击包括一个正常的用户A通常只能够对自己的一些信息进行增删改查,但是由于程序员的一时疏忽未对信息进行增删改查的时候没有进行一个判断,判断所需要操作的信息是否属于对应的用户,可以导致用户A可以操作其他人的信息。所述越权攻击可以包括水平越权和垂直越权。所述水平越权也可以称作访问控制攻击漏洞,是指Web应用程序在接收到用户的请求时,我们在增删改查某条数据时候,没有判断数据所对应的用户,或者在判断数据的用户时是通过从用户表单参数中获取userid来实现的,可以修改userid来实现水平越权。所述垂直越权又叫做权限提升攻击,具体原因就是web应用没有做用户权限控制,或者只是在菜单上做了权限控制,导致恶意用户只要猜测到其他管理页面的URL,就可以访问或者控制其他角色拥有的数据或者页面,达到权限提升的目的。
当然,所述安全校验项还可以包括其他所要校验的安全风险,可以根据实际需要进行确定,本说明书实施例对此不作限定。
在一些实施例中,可以将所述安全校验项发送至所述待测系统,以使所述待测系统根据所要校验的安全风险生成对应的请求报文。其中,所述请求报文可以为任意数据格式,例如于POST,GET,PUT,JSON等数据格式。
在一些实施例中,若所述安全校验项为重放攻击,由于重放攻击主要是攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器,来达到欺骗系统的目的,因此,所述请求报文可以包括通过待测系统向目标接口发送请求报文的用户的身份认证凭据。所述目标接口根据所述身份认证凭据对该用户的身份认证成功的情况下,可以对待测系统提供所需的服务。通过对抓取该请求报文,并将抓取的请求报文发送至目标接口,根据目标接口的响应报文来确定所述待测系统是否存在重放攻击的风险。
在一些实施例中,若所述安全校验项为越权攻击,所述请求报文可以包括通请求获取通过待测系统向目标接口发送请求报文的用户的数据操作权限。通过对抓取该请求报文,并将抓取的请求报文发送至目标接口,根据目标接口的响应报文来确定所述待测系统是否存在越权攻击的风险。
在一些实施例中,可以通过使用抓包攻击来抓取待测系统向目标接口发送的请求报文。具体的,计算机通过向网络上传和从网络下载一些数据包来实现数据在网络中的传播。通常这些数据包会由发出或者接受的软件自行处理,普通用户并不过问,这些数据包一般也不会一直保存在用户的计算机上。抓包(packet capture)就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作,也用来检查网络安全。抓包也经常被用来进行数据截取等。抓包工具是拦截查看网络数据包内容的软件,常见的抓包工具有wireshark、sniffer、httpwatch、iptool等。
S220:在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文。
在一些实施例中,可以将抓取的请求报文存储在数据库中。
在一些实施例中,抓取到请求报文后,还可以通过预设的方法获取与目标接口通信的权限。具体的,所述目标接口通常设置有权限控制,以方式不具有权限的用户调用所述目标接口,在不具有权限的用户调用所述目标接口时进行阻止。
在一些实施例中,由于所述待测系统与所述目标接口具有通信的权限,因此,所述预设的方法可以是通过模拟登录所述待测系统的方式,获取与目标接口通信的权限。
在一些实施例中,实现模拟登录的方法可以包括使用已知的cookie访问的方式。具体的,cookie保存在发起请求的客户端中,服务器利用cookie来区分不同的客户端。因为http是一种无状态的连接,当服务器一下子收到好几个请求时,是无法判断出哪些请求是同一个客户端发起的。而“访问登录后才能看到的页面”这一行为,恰恰需要客户端向服务器证明:“我是刚才登录过的那个客户端”。于是就需要cookie来标识客户端的身份,以存储它的信息(如登录状态)。当然,这也意味着,只要得到了别的客户端的cookie,例如使用浏览器登录,然后使用开发者工具查看cookie。接着在程序中携带该cookie向网站发送请求,就可以实现模拟登录。
在一些实施例中,实现模拟登录的方法可以包括模拟登录后再携带得到的cookie访问的方式。具体的,在程序中向网站发出登录请求,也就是提交包含登录信息的表单(用户名、密码等)。从响应中得到cookie,访问其他页面时也带上这个cookie,就可以实现模拟登录。
在一些实施例中,实现模拟登录的方法还可以包括模拟登录后用session保持登录状态的方式。具体的,session是会话的意思。和cookie的相似之处在于,它也可以让服务器“认得”客户端。简单理解就是,把每一个客户端和服务器的互动当作一个“会话”。既然在同一个“会话”里,服务器自然就能知道这个客户端是否登录过,从而实现模拟登录。
在一些实施例中,实现模拟登录的方法还可以包括使用无头浏览器访问的方式。具体的,如果能在程序里调用一个浏览器来访问网站,那么就可以实现模拟登录。例如,在Python中可以使用Selenium库来调用浏览器,写在代码里的操作(打开网页、点击……)会变成浏览器忠实地执行。这个被控制的浏览器可以是Firefox,Chrome等,但最常用的还是PhantomJS这个无头(没有界面)浏览器。也就是说,只要把填写用户名密码、点击“登录”按钮、打开另一个网页等操作写到程序中,PhamtomJS就可以实现模拟登录。
在一些实施例中,以通过模拟登录后用session保持登录状态的方式实现模拟登录为例。首先可以分析登录过程,即查看session请求信息,分析详情页。通过分析详情页可以查看Headers里面包含Cookies、Host、Origin、Referer、User-Agent等信息。Form Data包含commit、utf-8、authenticity_token、login、password5个信息。初步分析cookies和authenticity_token是在访问登录页的时候设置的。清空cookie重新访问登陆页面,重新分析发现ResponseHeaders有一个Set-Cookie字段,这是设置cookies的过程,此外Response Headers里没有authenticity_token相关信息,源码里搜索发现是一个隐藏式表单元素,是可得的。然后,设计模拟登录。具体的,模拟登录过程可以包括以下步骤:定义一个类,定义初始属性,包含登录头信息,目标网址,使用requests库的Session,维持会话,且自动处理cookies;访问登录页面获取初始cookies,并提取authenticity_token;构造一个获取token的函数,用xpath解析登录所需的authenticity_token信息并返回;如此便获得初始cookies和authenticity_token,可以构造请求实现模拟登录。构造一个登录函数,将Form Data所需信息传入,其中email和password信息以变量形式传递。再使用Session对象的post()方法模拟登录。
在一些实施例中,在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文。
S230:将所述响应报文与所述请求报文的预期响应报文进行对比,基于对比结果得到所述待测系统的测试结果。
在一些实施例中,可以预先将所述请求报文的预期响应报文存储在数据库中。其中,所述预期响应报文为所述待测系统测试通过时所述目标接口应当返回的响应报文,由于不同的安全校验项对应的请求报文不同,使得,不同的请求报文对应的预期响应报文也不同。
在一些实施例中,若所述安全校验项为重放攻击,所述将所述响应报文与所述请求报文的预期响应报文进行对比,基于对比结果得到所述待测系统的测试结果包括:在所述响应报文包括身份认证失败信息的情况下,所述测试结果为测试通过;在所述响应报文包括身份认证成功信息的情况下,所述测试结果为测试不通过。具体的,所述响应报文为所述测试设备抓取了请求报文后,由测试设备将所述请求报文发送给所述目标接口后,目标接口返回的响应报文,若待测系统测试通过,则不存在被重放攻击的风险,所述测试设备即使抓取了请求报文,也不能通过身份认证,从而不能调用所述目标接口;若待测系统测试不通过,则存在被重放攻击的风险,所述测试设备抓取了请求报文,也同样可以通过身份认证,从而能够调用所述目标接口。
在一些实施例中,若所述安全校验项为越权攻击,所述请求报文包括请求获取通过待测系统向目标接口发送请求报文的用户的数据操作权限;所述所述请求报文的预期响应报文包括请求失败信息;在所述响应报文包括请求失败信息的情况下,所述测试结果为测试通过。具体的,所述响应报文为所述测试设备抓取了请求报文后,由测试设备将所述请求报文发送给所述目标接口后,目标接口返回的响应报文,若待测系统测试通过,则不存在被越权攻击的风险,所述测试设备即使抓取了请求报文,也不能获得通过待测系统向目标接口发送请求报文的用户的数据操作权限;若待测系统测试不通过,则存在被越权攻击的风险,所述测试设备抓取了请求报文,也同样可以获得通过待测系统向目标接口发送请求报文的用户的数据操作权限。
在一些实施例中,所述方法还可以包括:将测试结果存储至数据库中,以便于测试人员通过浏览器查看所述测试结果。
本说明书实施例提供的测试方法,可以抓取待测系统向目标接口发送的请求报文;所述请求报文基于安全校验项生成;所述安全校验项表示所述待测系统所要校验的安全风险;在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;将所述响应报文与所述请求报文的预期响应报文进行对比,基于对比结果得到所述待测系统的测试结果,从而实现自动化测试,减少测试人员的工作量,提高测试效率。
请参阅图3,图3为本说明书实施例一种测试方法的另一实施例。所述测试方法的执行主体为所述测试设备130。如图3所示,所述测试方法可以包括以下具体实施步骤。
S310:抓取待测系统向目标接口发送的请求报文;所述请求报文包括请求用户的身份凭证。
对于该步骤的具体描述可以参考步骤S210中的说明,在此不再赘述。
S320:在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文。
对于该步骤的具体描述可以参考步骤S220中的说明,在此不再赘述。
S330:在所述响应报文包括身份认证失败信息的情况下,确定所述待测系统通过测试。
本说明书实施例提供的测试方法,可以抓取待测系统向目标接口发送的请求报文;所述请求报文包括请求用户的身份凭证;在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;在所述响应报文包括身份认证失败信息的情况下,确定所述待测系统通过测试,从而实现自动化测试,减少测试人员的工作量,提高测试效率。
请参阅图4,图4为本说明书实施例一种测试方法的另一实施例。所述测试方法的执行主体为所述测试设备130。如图4所示,所述测试方法可以包括以下具体实施步骤。
S410:抓取待测系统向目标接口发送的请求报文;所述请求报文包括获取通过待测系统向目标接口发送请求报文的用户的数据操作权限。
对于该步骤的具体描述可以参考步骤S210中的说明,在此不再赘述。
S420:在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文。
对于该步骤的具体描述可以参考步骤S220中的说明,在此不再赘述。
S430:在所述响应报文包括请求失败信息的情况下,确定所述待测系统通过测试。
本说明书实施例提供的测试方法,可以抓取待测系统向目标接口发送的请求报文;所述请求报文包括获取通过待测系统向目标接口发送请求报文的用户的数据操作权限;在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;在所述响应报文包括请求失败信息的情况下,确定所述待测系统通过测试,从而实现自动化测试,减少测试人员的工作量,提高测试效率。
图5为本说明书实施例一种电子设备的功能结构示意图,所述电子设备可以包括存储器和处理器。
在一些实施例中,所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现测试方法的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据用户终端的使用所创建的数据。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘、智能存储卡(Smart Media Card,SMC)、安全数字(Secure Digital,SD)卡、闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
所述处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(APPlication Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。所述处理器可以执行所述计算机指令实现以下步骤:抓取待测系统向目标接口发送的请求报文;所述请求报文基于安全校验项生成;所述安全校验项表示所述待测系统所要校验的安全风险;在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;将所述响应报文与所述请求报文的预期响应报文进行对比,基于对比结果得到所述待测系统的测试结果。
在本说明书实施例中,该电子设备具体实现的功能和效果,可以与其它实施例对照解释,在此不再赘述。
图6为本说明书实施例一种测试装置的功能结构示意图,该装置具体可以包括以下的结构模块。
抓取模块610,用于抓取待测系统向目标接口发送的请求报文;所述请求报文基于安全校验项生成;所述安全校验项表示所述待测系统所要校验的安全风险;
发送模块620,用于在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;
对比模块630,用于将所述响应报文与所述请求报文的预期响应报文进行对比,基于对比结果得到所述待测系统的测试结果。
图5为本说明书实施例一种电子设备的功能结构示意图,所述电子设备可以包括存储器和处理器。
在一些实施例中,所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现测试方法的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据用户终端的使用所创建的数据。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘、智能存储卡(Smart Media Card,SMC)、安全数字(Secure Digital,SD)卡、闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
所述处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(APPlication Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。所述处理器可以执行所述计算机指令实现以下步骤:抓取待测系统向目标接口发送的请求报文;所述请求报文包括请求用户的身份凭证;在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;在所述响应报文包括身份认证失败信息的情况下,确定所述待测系统通过测试。
在本说明书实施例中,该电子设备具体实现的功能和效果,可以与其它实施例对照解释,在此不再赘述。
图7为本说明书实施例一种测试装置的功能结构示意图,该装置具体可以包括以下的结构模块。
抓取模块710,用于抓取待测系统向目标接口发送的请求报文;所述请求报文包括请求用户的身份凭证;
发送模块720,用于在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;
确定模块730,用于在所述响应报文包括身份认证失败信息的情况下,确定所述待测系统通过测试。
图5为本说明书实施例一种电子设备的功能结构示意图,所述电子设备可以包括存储器和处理器。
在一些实施例中,所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现测试方法的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据用户终端的使用所创建的数据。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘、智能存储卡(Smart Media Card,SMC)、安全数字(Secure Digital,SD)卡、闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
所述处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(APPlication Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。所述处理器可以执行所述计算机指令实现以下步骤:抓取待测系统向目标接口发送的请求报文;所述请求报文包括获取通过待测系统向目标接口发送请求报文的用户的数据操作权限;在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;在所述响应报文包括请求失败信息的情况下,确定所述待测系统通过测试。。
在本说明书实施例中,该电子设备具体实现的功能和效果,可以与其它实施例对照解释,在此不再赘述。
图8为本说明书实施例一种测试装置的功能结构示意图,该装置具体可以包括以下的结构模块。
抓取模块810,用于抓取待测系统向目标接口发送的请求报文;所述请求报文包括获取通过待测系统向目标接口发送请求报文的用户的数据操作权限;
发送模块820,用于在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;
确定模块830,用于在所述响应报文包括请求失败信息的情况下,确定所述待测系统通过测试。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同或相似的部分互相参见即可,每个实施例重点说明的都是与其它实施例的不同之处。尤其,对于装置实施例和设备实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域技术人员在阅读本说明书文件之后,可以无需创造性劳动想到将本说明书列举的部分或全部实施例进行任意组合,这些组合也在本说明书公开和保护的范围内。
在20世纪90年代,对于一个技术的改进可以很明显地区分是硬件上的改进(例如,对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而,随着技术的发展,当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此,不能说一个方法流程的改进就不能用硬件实体模块来实现。例如,可编程逻辑器件(Programmable Logic Device,PLD)(例如现场可编程门阵列(Field Programmable GateArray,FPGA))就是这样一种集成电路,其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片PLD上,而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且,如今,取代手工地制作集成电路芯片,这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现,它与程序开发撰写时所用的软件编译器相类似,而要编译之前的原始代码也得用特定的编程语言来撰写,此称之为硬件描述语言(Hardware Description Language,HDL),而HDL也并非仅有一种,而是有许多种,如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware DescriptionLanguage)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(RubyHardware Description Language)等,目前最普遍使用的是VHDL(Very-High-SpeedIntegrated Circuit Hardware Description Language)与Verilog2。本领域技术人员也应该清楚,只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中,就可以很容易得到实现该逻辑方法流程的硬件电路。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本说明书可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本说明书的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本说明书各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书可用于众多通用或专用的计算机系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
本说明书可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
虽然通过实施例描绘了本说明书,本领域普通技术人员知道,本说明书有许多变形和变化而不脱离本说明书的精神,希望所附的权利要求包括这些变形和变化而不脱离本说明书的精神。
Claims (21)
1.一种测试方法,其特征在于,所述方法包括:
抓取待测系统向目标接口发送的请求报文;所述请求报文基于安全校验项生成;所述安全校验项表示所述待测系统所要校验的安全风险;
在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;
将所述响应报文与所述请求报文的预期响应报文进行对比,基于对比结果得到所述待测系统的测试结果。
2.根据权利要求1所述的方法,其特征在于,所述安全校验项包括重放攻击和越权攻击中的至少一种。
3.根据权利要求1所述的方法,其特征在于,在所述安全校验项为重放攻击的情况下,所述请求报文包括通过待测系统向目标接口发送请求报文的用户的身份认证凭据;所述请求报文的预期响应报文包括身份认证失败信息。
4.根据权利要求3所述的方法,其特征在于,所述将所述响应报文与所述请求报文的预期响应报文进行对比,基于对比结果得到所述待测系统的测试结果包括:
在所述响应报文包括身份认证失败信息的情况下,所述测试结果为测试通过。
5.根据权利要求3所述的方法,其特征在于,所述将所述响应报文与所述请求报文的预期响应报文进行对比,基于对比结果得到所述待测系统的测试结果包括:
在所述响应报文包括身份认证成功信息的情况下,所述测试结果为测试不通过。
6.根据权利要求1所述的方法,其特征在于,在所述安全校验项为越权攻击的情况下,所述请求报文包括请求获取通过待测系统向目标接口发送请求报文的用户的数据操作权限;所述所述请求报文的预期响应报文包括请求失败信息。
7.根据权利要求6所述的方法,其特征在于,所述将所述响应报文与所述请求报文的预期响应报文进行对比,基于对比结果得到所述待测系统的测试结果包括:
在所述响应报文包括请求失败信息的情况下,所述测试结果为测试通过。
8.根据权利要求6所述的方法,其特征在于,所述将所述响应报文与所述请求报文的预期响应报文进行对比,基于对比结果得到所述待测系统的测试结果包括:
在所述响应报文包括请求通过信息的情况下,所述测试结果为不测试通过。
9.根据权利要求1-8任意一项所述的方法,其特征在于,所述方法还包括:
模拟登录所述待测系统,以便于获取请求所述目标接口的权限。
10.一种测试装置,其特征在于,所述装置包括:
抓取模块,用于抓取待测系统向目标接口发送的请求报文;所述请求报文基于安全校验项生成;所述安全校验项表示所述待测系统所要校验的安全风险;
发送模块,用于在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;
对比模块,用于将所述响应报文与所述请求报文的预期响应报文进行对比,基于对比结果得到所述待测系统的测试结果。
11.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现:抓取待测系统向目标接口发送的请求报文;所述请求报文基于安全校验项生成;所述安全校验项表示所述待测系统所要校验的安全风险;在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;将所述响应报文与所述请求报文的预期响应报文进行对比,基于对比结果得到所述待测系统的测试结果。
12.一种测试方法,其特征在于,所述方法包括:
抓取待测系统向目标接口发送的请求报文;所述请求报文包括请求用户的身份凭证;
在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;
在所述响应报文包括身份认证失败信息的情况下,确定所述待测系统通过测试。
13.根据权利要求12所述的方法,其特征在于,在所述响应报文包括身份认证成功信息的情况下,确定所述待测系统不通过测试。
14.根据权利要求12或13所述的方法,其特征在于,所述方法还包括:
模拟登录所述待测系统,以便于获取请求所述目标接口的权限。
15.一种测试装置,其特征在于,所述装置包括:
抓取模块,用于抓取待测系统向目标接口发送的请求报文;所述请求报文包括请求用户的身份凭证;
发送模块,用于在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;
确定模块,用于在所述响应报文包括身份认证失败信息的情况下,确定所述待测系统通过测试。
16.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现:抓取待测系统向目标接口发送的请求报文;所述请求报文包括请求用户的身份凭证;在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;在所述响应报文包括身份认证失败信息的情况下,确定所述待测系统通过测试。
17.一种测试方法,其特征在于,所述方法包括:
抓取待测系统向目标接口发送的请求报文;所述请求报文包括获取通过待测系统向目标接口发送请求报文的用户的数据操作权限;
在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;
在所述响应报文包括请求失败信息的情况下,确定所述待测系统通过测试。
18.根据权利要求17所述的方法,其特征在于,在所述响应报文不包括请求通过信息的情况下,确定所述待测系统不通过测试。
19.根据权利要求17或18所述的方法,其特征在于,所述方法还包括:
模拟登录所述待测系统,以便于获取请求所述目标接口的权限。
20.一种测试装置,其特征在于,所述装置包括:
抓取模块,用于抓取待测系统向目标接口发送的请求报文;所述请求报文包括获取通过待测系统向目标接口发送请求报文的用户的数据操作权限;
发送模块,用于在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;
确定模块,用于在所述响应报文包括请求失败信息的情况下,确定所述待测系统通过测试。
21.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现:抓取待测系统向目标接口发送的请求报文;所述请求报文包括获取通过待测系统向目标接口发送请求报文的用户的数据操作权限;在获取与所述目标接口通信的权限的情况下,将所述请求报文发送至所述目标接口,得到所述目标接口基于所述请求报文返回的响应报文;在所述响应报文包括请求失败信息的情况下,确定所述待测系统通过测试。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011485053.9A CN112671605B (zh) | 2020-12-16 | 2020-12-16 | 一种测试方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011485053.9A CN112671605B (zh) | 2020-12-16 | 2020-12-16 | 一种测试方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112671605A true CN112671605A (zh) | 2021-04-16 |
| CN112671605B CN112671605B (zh) | 2023-07-11 |
Family
ID=75405387
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011485053.9A Active CN112671605B (zh) | 2020-12-16 | 2020-12-16 | 一种测试方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112671605B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114666258A (zh) * | 2022-03-22 | 2022-06-24 | 阿波罗智联(北京)科技有限公司 | 接口测试方法、装置、电子设备和介质 |
| CN117148018A (zh) * | 2023-10-27 | 2023-12-01 | 南方电网数字电网研究院有限公司 | 用于配电模组的功能测试系统和方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102065067A (zh) * | 2009-11-11 | 2011-05-18 | 杭州华三通信技术有限公司 | 一种在门户服务器和客户端之间防重放攻击的方法及设备 |
| CN108021476A (zh) * | 2016-10-31 | 2018-05-11 | 华为技术有限公司 | 一种互联接口的测试方法、装置和计算设备 |
| CN110348225A (zh) * | 2019-07-09 | 2019-10-18 | 中国工商银行股份有限公司 | 针对应用程序接口的安全漏洞确定方法和装置 |
| CN111159053A (zh) * | 2020-01-02 | 2020-05-15 | 中国银行股份有限公司 | 一种测试方法、装置及存储介质 |
| CN111478969A (zh) * | 2020-04-09 | 2020-07-31 | 吉林亿联银行股份有限公司 | 接口校验方法及装置 |
-
2020
- 2020-12-16 CN CN202011485053.9A patent/CN112671605B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102065067A (zh) * | 2009-11-11 | 2011-05-18 | 杭州华三通信技术有限公司 | 一种在门户服务器和客户端之间防重放攻击的方法及设备 |
| CN108021476A (zh) * | 2016-10-31 | 2018-05-11 | 华为技术有限公司 | 一种互联接口的测试方法、装置和计算设备 |
| CN110348225A (zh) * | 2019-07-09 | 2019-10-18 | 中国工商银行股份有限公司 | 针对应用程序接口的安全漏洞确定方法和装置 |
| CN111159053A (zh) * | 2020-01-02 | 2020-05-15 | 中国银行股份有限公司 | 一种测试方法、装置及存储介质 |
| CN111478969A (zh) * | 2020-04-09 | 2020-07-31 | 吉林亿联银行股份有限公司 | 接口校验方法及装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114666258A (zh) * | 2022-03-22 | 2022-06-24 | 阿波罗智联(北京)科技有限公司 | 接口测试方法、装置、电子设备和介质 |
| CN114666258B (zh) * | 2022-03-22 | 2023-11-07 | 阿波罗智联(北京)科技有限公司 | 接口测试方法、装置、电子设备和介质 |
| CN117148018A (zh) * | 2023-10-27 | 2023-12-01 | 南方电网数字电网研究院有限公司 | 用于配电模组的功能测试系统和方法 |
| CN117148018B (zh) * | 2023-10-27 | 2024-03-26 | 南方电网数字电网研究院有限公司 | 用于配电模组的功能测试系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112671605B (zh) | 2023-07-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110413908B (zh) | 基于网站内容对统一资源定位符进行分类的方法和装置 | |
| US8949990B1 (en) | Script-based XSS vulnerability detection | |
| CN111400722B (zh) | 扫描小程序的方法、装置、计算机设备和存储介质 | |
| CN105553917B (zh) | 一种网页漏洞的检测方法和系统 | |
| Li et al. | Block: a black-box approach for detection of state violation attacks towards web applications | |
| CN109376078B (zh) | 移动应用的测试方法、终端设备及介质 | |
| CN111294345B (zh) | 一种漏洞检测方法、装置及设备 | |
| WO2018188558A1 (zh) | 账号权限的识别方法及装置 | |
| US9607145B2 (en) | Automated vulnerability and error scanner for mobile applications | |
| US11444970B2 (en) | Dynamic security test system | |
| CN109547426B (zh) | 业务响应方法及服务器 | |
| US9953169B2 (en) | Modify execution of application under test so user is power user | |
| CN111949531B (zh) | 区块链网络的测试方法、装置、介质及电子设备 | |
| CN112671605B (zh) | 一种测试方法、装置及电子设备 | |
| US11595436B2 (en) | Rule-based dynamic security test system | |
| Huang et al. | Fuzzing the android applications with http/https network data | |
| Tang et al. | Ssldetecter: detecting SSL security vulnerabilities of android applications based on a novel automatic traversal method | |
| Ham et al. | Big Data Preprocessing Mechanism for Analytics of Mobile Web Log. | |
| US20220210180A1 (en) | Automated Detection of Cross Site Scripting Attacks | |
| US11250139B2 (en) | Greybox fuzzing for web applications | |
| CN114780398A (zh) | 面向Cisco IOS-XE的Web命令注入漏洞检测方法 | |
| Chen et al. | Toward discovering and exploiting private server-side web apis | |
| Veličković et al. | Web Applications Protection from Automated Attacks by the reCAPTCHA API | |
| CN114386010A (zh) | 应用登录方法、装置、电子设备以及存储介质 | |
| WO2018166365A1 (zh) | 一种记录网站访问日志的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |