CN114238069A

CN114238069A - 一种Web应用防火墙测试方法、装置、电子设备、介质及产品

Info

Publication number: CN114238069A
Application number: CN202111293745.8A
Authority: CN
Inventors: 刘巍
Original assignee: Beijing Baidu Netcom Science and Technology Co Ltd
Current assignee: Beijing Baidu Netcom Science and Technology Co Ltd
Priority date: 2021-11-03
Filing date: 2021-11-03
Publication date: 2022-03-25

Abstract

本公开提供了一种Web应用防火墙测试方法、装置、电子设备、介质及产品，涉及计算机技术领域，尤其涉及信息安全技术领域，可以提高对Web应用防火墙的测试效率。具体实现方案为：获取攻击流量，其中攻击流量包括线上Web应用防火墙识别的来自于终端的至少一个攻击请求。然后基于攻击流量生成测试用例，并利用测试用例对待测试Web应用防火墙进行测试，得到测试结果。

Description

一种Web应用防火墙测试方法、装置、电子设备、介质及产品

技术领域

本公开涉及计算机技术领域，尤其涉及信息安全技术领域。

背景技术

Web应用防火墙(Web Application Firewall，WAF)是面向用户提供的全球广域网(World Wide Web，Web)安全防护产品，用于防护各种web攻击，能够有效地过滤恶意的攻击请求，将安全的请求转发给网站的服务器，提升服务器的运行安全性。

发明内容

本公开提供了一种Web应用防火墙测试方法、装置、电子设备、介质及产品。

本公开实施例的第一方面，提供了一种Web应用防火墙测试方法，包括：

获取攻击流量，所述攻击流量包括线上Web应用防火墙识别的来自于终端的至少一个攻击请求；

基于所述攻击流量生成测试用例；

利用所述测试用例对待测试Web应用防火墙进行测试，得到对所述待测试Web应用防火墙的测试结果。

本公开实施例的第二方面，提供了一种Web应用防火墙测试装置，包括：

获取模块，用于获取攻击流量，所述攻击流量包括线上Web应用防火墙识别的来自于终端的至少一个攻击请求；

生成模块，用于基于所述攻击流量生成测试用例；

测试模块，用于利用所述测试用例对待测试Web应用防火墙进行测试，得到测试结果。

本公开实施例的第三方面，提供了一种电子设备，包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行上述任一项所述的Web应用防火墙测试方法。

本公开实施例的第四方面，提供了一种存储有计算机指令的非瞬时计算机可读存储介质，其中，所述计算机指令用于使所述计算机执行上述任一项所述的Web应用防火墙测试方法。

本公开实施例的第五方面，提供了一种计算机程序产品，包括计算机程序，所述计算机程序在被处理器执行时实现根据上述任一项所述的Web应用防火墙测试方法。

本公开实施例提供的Web应用防火墙测试方法、装置、电子设备、介质及产品，能够基于线上web应用防火墙识别的来自终端的攻击流量，生成测试用例，并基于该测试用例对待测试web应用防火墙进行测试，得到对待测试Web应用防火墙的测试结果。由于本公开实施例可以对Web应用防火墙进行自动测试，因此提高了测试效率。

应当理解，本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征，也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。

附图说明

附图用于更好地理解本方案，不构成对本公开的限定。其中：

图1是本公开实施例提供的一种Web应用防火墙测试方法的流程图；

图2是本公开实施例提供的另一种Web应用防火墙测试方法的流程图；

图3是本公开实施例提供的另一种Web应用防火墙测试方法的流程图；

图4是本公开实施例提供的一种部署待测试Web应用防火墙的方法流程图；

图5是本公开实施例提供的一种Web应用防火墙测试过程的示例性示意图；

图6是本公开实施例提供的一种Web应用防火墙测试装置的结构示意图；

图7是本公开实施例提供的另一种Web应用防火墙测试装置的结构示意图；

图8是用来实现本公开实施例的Web应用防火墙测试方法的电子设备的框图。

具体实施方式

以下结合附图对本公开的示范性实施例做出说明，其中包括本公开实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本公开的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。

随着互联网的高速发展，基于全球广域网(World Wide Web，Web)服务的应用程序被广泛应用于教育、商业、金融以及通讯等各个重要领域。各类基于Web服务的应用程序所在的web应用系统越来越复杂，安全问题以及衍生出的维护和管理问题也日益突出。而且信息传播的便利，也导致了攻击成本的降低。据统计，有八成的网站曾遭受Web攻击。Web应用防火墙(Web Application Firewall，WAF)是面向用户提供的Web安全防护产品，能够有效地防护各种Web攻击。而且Web应用防火墙可以允许用户定制访问规则，有效地过滤恶意的攻击请求，将正常且安全的请求转发给网站的服务器，提升网站的安全性。

对Web应用防火墙的测试包括测试Web应用防火墙的引擎模块和/或规则库。传统的对Web应用防火墙的测试所基于的测试用例为：人工构造的测试用例，或者利用测试工具构造的测试用例。这两种方式构造的测试用例均不够真实，且构造效率较低。目前大部分采用人工或者半自动化的方式进行测试，测试的迭代速度较慢，在在引擎模块较小的改动或者常规规则库的更新的情况下，难以应对漏洞日新月异的变化。而Web应用防火墙的上线具有严格的指标，利用当前的测试方法无法及时地发现Web应用防火墙的漏洞，导致Web应用防火墙的上线速度较慢。

本公开实施例为了提高Web应用防火墙的测试效率，提供了一种Web应用防火墙测试方法。一种实现方式中，该方法可以应用于Web应用防火墙服务器，Web应用防火墙服务器中部署了待测试Web应用防火墙，待测试Web应用防火墙可以为处于开发过程中还未上线使用的Web应用防火墙。

或者另一种实现方式中，该方法可以应用于测试服务器，测试服务器与上述Web应用防火墙服务器分别为两个不同的服务器。测试服务器与Web应用防火墙服务器通信连接，测试服务器用于对Web应用防火墙服务器中的待测试Web应用防火墙进行测试。

如图1所示，本公开实施例提供的Web应用防火墙测试方法包括如下步骤：

S101、获取攻击流量。

其中，攻击流量包括线上Web应用防火墙识别的来自于终端的至少一个攻击请求。线上web应用防火墙指的是当前正在线上使用的Web应用防火墙。

本公开实施例中，可以将线上Web应用防火墙命中的攻击请求复制并存储到备份服务器，执行S101时可以通过线上流量复制工具，从备份服务器中获取攻击流量。同时，还可以在备份服务器中存储每个攻击请求的相关参数，例如相关参数包括：线上Web应用防火墙对每个攻击请求的识别结果以及线上Web应用防火墙接收攻击请求的时间等。

S102、基于攻击流量生成测试用例。

在本公开实施例中，可以基于每个攻击请求生成一个测试用例。

测试用例生成后可以存储于备份服务器中，以实现测试用例的持久化存储，降低了测试用例维护成本。而且由于测试用例可以自动生成，无需人工操作，因此降低了测试用例的创建成本，节省了人力。

S103、利用测试用例对待测试Web应用防火墙进行测试，得到测试结果。

一种实现方式中，执行S101时可以实时获取线上Web应用防火墙识别的攻击请求，并通过S102生成测试用例，S103利用该测试用例对待测试Web应用防火墙进行测试，得到对待测试Web应用防火墙对该测试用例的识别结果，后续可进一步分析该识别结果是否准确。采用该实现方式能够保障获取到的攻击流量的实时性，以实时地测试待测试Web应用防火墙的性能。

另一种实现方式中，执行S101时可以周期性地获取线上Web应用防火墙识别到的攻击请求。例如，每天获取线上Web应用防火墙在前一天识别到的所有的攻击请求。并通过S102根据每个攻击请求生成一个测试用例。执行S103时，利用S102生成的一批测试用例对待测试Web应用防火墙进行测试，得到待测试Web应用防火墙对每个测试用例的识别结果，然后确定各识别结果是否准确，并以此生成测试报告。采用该实现方式能够获取到大量的攻击流量，保证测试的准确性。

在测试过程中，如果测试用例在执行过程中执行失败(例如待测试Web应用防火墙对该测试用例无法识别)，可以将该测试用例单独存储在一个存储位置(例如存储在备份服务器的指定存储区域中)，方便后续进行排查分析。执行失败的测试用例不会影响其他测试用例的执行。

相关技术中，需要人工构建测试用例或者人工通过测试工具构造测试用例，导致测试效率较低。

而本公开实施例提供的Web应用防火墙测试方法，能够基于线上Web应用防火墙识别的来自终端的攻击流量，生成测试用例，并基于该测试用例对待测试Web应用防火墙进行测试，得到对待测试Web应用防火墙的测试结果。可见本公开实施例可以自动生成测试用例，期间无需人工参与，而且还可以对Web应用防火墙进行自动测试，因此提高了测试效率。

另外，本公开实施例中的测试用例基于攻击流量生成，即基于真实流量生成，因此本公开实施例提高了测试用例的真实性。

在本公开的一个实施例中，如图2所示，上述S102基于攻击流量生成测试用例，包括如下步骤：

S1021、针对每条攻击流量，对该攻击流量进行解析，得到该攻击流量中的指定字段。

例如，攻击请求中的指定字段可以包括：超文本传输协议请求(Hyper TextTransfer Protocol，http)方法、http请求头(header)、请求的统一资源定位器(UniformResource Locator，URL)、客户端网际互连协议(Internet Protocol，IP)地址和http请求正文(body)等。

S1022、按照指定格式对指定字段进行拼接，将拼接结果作为一个测试用例。其中，指定格式为待测试Web应用防火墙支持识别的格式。例如指定格式为：http请求方法(例如post)+请求的URL+http请求头+客户端IP+http请求body。

可选的，可以基于待测试Web应用防火墙的测试环境，确定对指定字段进行拼接的指定格式。例如，指定格式可以为rav格式。

采用上述方法，本公开实施例可以基于攻击流量，自动生成测试用例，期间不需要人工参与，减少了人工成本；而且测试用例基于真实流量生成，也增加了测试用例的真实性。因此本公开实施例中，测试用例的迭代速度较快，能够应用在引擎模块较小的改动或者常规规则库的更新的场景，使得本公开实施例的应用范围广。

另外，经测试发现，本公开实施例中对于引擎模块较小的改动或者常规规则库的更新，本公开实施例中测试用例的迭代周期比常规的测试用例迭代周期缩短百分之八十以上。

在本公开的一个实施例中，生成测试用例之后，还可以根据攻击流量所属的业务类型，对基于攻击流量生成的测试用例进行分类，后续方便利用不同业务类型的测试用例对待测试Web应用防火墙进行测试，得到待测试web应用防火墙对不同业务类型的测试用例的识别结果。

本公开实施例可以在测试用例中增加以下参数项：途径(Path)、规则名(RuleName)、绝对时间(Ctime)和业务(Services)。

其中，Path用于表示攻击流量中命中过滤规则的字段，其中过滤规则为线上Web应用防火墙的规则库中配置的规则。一些业务的常规请求中可能存在命中过滤规则的字段，而导致这些常规请求被误认为是攻击请求。本公开实施例可以人工对线上Web应用防火墙识别的攻击流量进行分析，如果人工确定一个请求为正常请求，而被Web应用防火墙识别为攻击请求，此时可以根据Path可以将这种正常请求加入白名单，避免对该正常请求的误识别。

RuleName用于表示攻击流量命中线上Web应用防火墙的规则库中的过滤规则名称。上述S103确定测试结果时，可以将该RuleName与待测试Web应用防火墙对测试用例命中的过滤规则名称进行对比，从而实现对待测试Web应用防火墙的漏报统计。

Ctime用于表示测试用例对应的攻击请求的攻击时间。例如，攻击时间可以是攻击请求的发送时间或者线上Web应用防火墙接收攻击请求的时间。后续生成测试报告时，可以根据Ctime对测试用例按照时间进行分类统计。

Services用于表示测试用例对应的攻击请求所属的业务类型。后续生成测试报告时，可以根据Services对测试用例按照业务类型进行分类统计。

在本公开的一个实施例中，S102生成的测试用例存在多个，即本公开实施例可以周期性地获取一批攻击请求，并根据每个攻击请求生成一个测试用例，利用生成的一批测试用例对待测试Web应用防火墙进行测试，得到测试结果。如图3所示，上述S103确定测试结果的方式可以实现为以下步骤：

S1031、根据预设的并发量，将测试用例批量输入待测试Web应用防火墙批量，得到待测试Web应用防火墙对每个测试用例的第一识别结果。

当上述电子设备为Web应用防火墙服务器时，执行S1031时由Web应用防火墙服务器将测试用例输入自身的待测试Web应用防火墙。

当上述电子设备为测试服务器时，执行S1031时由测试服务器向Web应用防火墙服务器批量发送测试用例。

由于待测试Web应用防火墙设置有每秒接收的请求条数阈值，如果待测试web应用防火墙每秒接收的请求条数超过该阈值，则请求会进行排队。如果排队时长超过一定时长则会被丢弃。为了减少数据丢失，本公开实施例可以设置预设的并发量小于该阈值，并按照预设的并发量向待测试web应用防火墙批量输入测试用例。预设的并发量可称为每秒查询率(Queries-per-second，QPS)，例如，QPS为1500。

S1032、对比每个测试用例的第一识别结果和第二识别结果，确定待测试Web应用防火墙的漏报率。

其中，第二识别结果为线上Web应用防火墙对测试用例对应的攻击流量的识别结果。线上Web应用防火墙将攻击流量存入备份服务器时，还可以将线上Web应用防火墙对攻击流量的的第二识别结果与攻击流量对应存储在备份服务器，以使得电子设备从备份服务器获取到第二识别结果。

例如，针对每个测试用例，第一识别结果表示该测试用例为正常请求，而第二结果表示该测试用例为攻击请求，此时可以确定待测试Web应用防火墙对该测试用例进行漏报。并基于待测试Web应用防火墙对每个测试用例是否漏报，统计出漏报率。

S1033、对比每个测试用例的第一识别结果和指定识别结果，得到待测试Web应用防火墙的误报率。

其中，指定识别结果可以包括人工对测试用例的识别结果。例如，可以针对每个测试用例，利用第三方Web应用防火墙对该测试用例进行识别，得到该测试用例的识别结果，人工对该识别结果进行分析，得到该测试用例的指定识别结果。其中，第三方Web应用防火墙可以不同于线上Web应用防火墙以及待测试Web应用防火墙。

例如，针对每个测试用例，第一识别结果表示该测试用例为正常请求，而指定结果表示该测试用例为攻击请求；或者，第一识别结果表示该测试用例为攻击请求，而指定结果表示该测试用例为正常请求。这两种情况下均可以确定待测试Web应用防火墙对该测试用例进行误报。并基于待测试Web应用防火墙对每个测试用例是否误报，统计出误报率。

S1034、根据漏报率和误报率，生成测试报告。

可选的，测试报告中除了漏报率和误报率之外，还可以包括：测试用例总数和被待测试Web应用防火墙识别为攻击流量的测试用例数量等，本公开实施例对此不作具体限定。其中，电子设备可以在上述S102生成测试用例时，获得生成的测试用例总数。S1031获得第一识别结果时，可以得到被待测试Web应用防火墙识别为攻击流量的测试用例数量。

可选的，本公开实施例还可以通过内嵌(Hyper Text Markup Language，html)编写提醒邮件的内容及格式，然后通过简单邮件传输协议(Simple Mail TransferProtocol，SMTP)进行封装，将封装后的提醒邮件发送给相关人员，以提示相关人员及时处理。例如，提醒邮件的内容包括：当日线上Web应用防火墙拦截到的攻击请求总数，待测试Web应用防火墙对测试用例的命中率、待测试Web应用防火墙的漏报率和误报率、待测试Web应用防火墙历史漏报率(例如，近十天漏报率以及近三十天漏报率)等。

采用上述方法，本公开实施例可以自动对待测试Web应用防火墙的识别进行进行分析，并自动生成测试报告及提醒邮件，方便相关人员了解待测试Web应用防火墙的识别能力，并进一步对待测试Web应用防火墙进行优化。

由上述S101中的描述可知，攻击流量可以为实时流量或者一段时间内获得的流量。

在攻击流量为实时流量时，采用上述方法能够根据待测试Web应用防火墙的识别结果，及时生成测试报告并发送提醒邮件，方便相关人员第一时间进行处理。

在攻击流量为一段时间内获得的流量时，采用上述方法可以根据待测试Web应用防火墙的识别结果，生成测试报告并发送提醒邮件，方便相关人员对待测试Web应用防火墙的研发和问题排查。

在本公开的一个实施例中，本公开实施例可以对待测试Web应用防火墙进行更新，如图4所示，更新方式包括如下步骤：

S401、监测待测试Web应用防火墙是否存在新版本。当Web应用防火墙存在新版本时，执行S402。

一种实现方式中，可以周期性地向版本管理平台发送获取请求(例如每隔20秒发送一次获取请求)。

若在预设时长内接收到版本管理平台响应于获取请求发送的获取响应，则确定待测试Web应用防火墙存在新版本，其中获取响应包括待测试Web应用防火墙的新版本。

若持续预设时长未接收到版本管理平台发送的获取响应，则确定待测试Web应用防火墙不存在新版本。

可以理解的，获取请求用于请求待测试Web应用防火墙的引擎模块和规则库的新版本。本公开实施例中，由于版本管理平台每次接收到获取请求，可以确定当前电子设备处于在线状态，因此获取请求还实现了心跳保活功能，即通过周期性地向版本管理平台发送获取请求，以向版本管理平台报告电子设备处于在线状态。可选的，上述获取请求可以携带心跳信息，心跳信息用于表示在线状态。采用上述方法，本公开实施例可以对待测试Web应用防火墙是否存在新版本进行监测并及时获取，而且还可以向版本管理平台报告自身的在线状态，以使得版本管理平台可以及时向电子设备下发新版本。

可选的，获取响应可以包括配置文件，配置文件包括引擎模块和/或规则库的新版本。例如预设时长为20秒。

S402、安装新版本，将新版本作为待测试Web应用防火墙。

一种实施方式中，在获取到新版本时，无需人工手动操作，可以自动加载并部署新版本，后续对待测试Web应用防火墙的新版本进行测试。

可选的，部署待测试Web应用防火墙时，还可以设置防护状态，防护状态用于表示防护模式。例如，防护状态为高，表示防护模式的过滤规则更严格；防护状态为低，表示防护模式的过滤规则更宽容。

采用上述方法，本公开实施例可以检测待测试Web应用防火墙是否存在新版本，并及时获取新版本进行测试，提高新版本的测试效率。

参见图5，以下结合应用场景，对本公开实施例提供的Web应用防火墙测试方法的整体流程进行说明：

线上Web应用防火墙复制识别出的攻击流量，并将攻击流量和线上Web应用防火墙对攻击流量的第二识别结果对应存储到备份服务器。测试服务器从备份服务器中获取攻击流量，对攻击流量进行解析并拼接，同时加入Path、RuleName、Ctime和Services，得到rav格式的测试用例，测试用例支持CSV Data Set Config参数格式。CSV Data Set Config是一种实现数据参数化的元件。

测试服务器根据预设的并发量，向待测试Web应用防火墙批量发送测试用例，得到待测试Web应用防火墙对每个测试用例的第一识别结果。待测试Web应用防火墙为版本管理平台下发的最新版本。

测试服务器将第一识别结果上传分析平台，利用分析平台分析的待测试Web应用防火墙的误报率。

测试服务器将第一识别结果与第二识别结果进行对比，得到待测试Web应用防火墙的漏报率。其中，第二识别结果可以从备份服务器中获取。

测试服务器根据漏报率和误报率，生成测试报告并发送提醒邮件。

测试结束后恢复测试环境，并删除测试服务器在测试过程中产生的测试数据。

基于相同的发明构思，对应于上述方法实施例，本公开实施例提供了一种Web应用防火墙测试装置，如图6所示，包括：获取模块601、生成模块602和测试模块603；

获取模块601，用于获取攻击流量，所述攻击流量包括线上Web应用防火墙识别的来自于终端的至少一个攻击请求；

生成模块602，用于基于所述攻击流量生成测试用例；

测试模块603，用于利用所述测试用例对待测试Web应用防火墙进行测试，得到测试结果。

本公开实施例提供的Web应用防火墙测试装置，能够基于线上web应用防火墙识别的来自终端的攻击流量，生成测试用例，并基于该测试用例对待测试web应用防火墙进行测试，得到对待测试Web应用防火墙的测试结果。由于本公开实施例可以对Web应用防火墙进行自动测试，因此提高了测试效率。

可选的，生成模块602，具体用于：

针对每条攻击流量，对该攻击流量进行解析，得到该攻击流量中的指定字段；

按照指定格式对所述指定字段进行拼接，将拼接结果作为一个测试用例，所述指定格式为所述待测试Web应用防火墙支持识别的格式。

可选的，所述测试用例存在多个，测试模块603，具体用于：

根据预设的并发量，将所述测试用例批量输入所述待测试Web应用防火墙，得到所述待测试Web应用防火墙对每个测试用例的第一识别结果；

对比每个测试用例的第一识别结果和第二识别结果，确定待测试Web应用防火墙的漏报率，所述第二识别结果为所述线上Web应用防火墙对测试用例对应的攻击流量的识别结果；

对比每个测试用例的第一识别结果和指定识别结果，得到待测试Web应用防火墙的误报率；

根据所述漏报率和所述误报率，生成测试报告。

可选的，如图7所示，该装置还可以包括：监测模块604和安装模块605；

监测模块604，用于监测所述待测试Web应用防火墙是否存在新版本；

安装模块605，用于当Web应用防火墙存在新版本时，安装新版本，将新版本作为所述待测试Web应用防火墙。

可选的，监测模块604，具体用于：

周期性地向版本管理平台发送获取请求；

若在预设时长内接收到所述版本管理平台响应于所述获取请求发送的获取响应，则确定待测试Web应用防火墙存在新版本，所述获取响应包括待测试Web应用防火墙的新版本；

若持续所述预设时长未接收到所述版本管理平台发送的所述获取响应，则确定待测试Web应用防火墙不存在新版本。

本公开的技术方案中，所涉及的攻击流量的收集、存储、使用、加工、传输、提供和公开等处理，均符合相关法律法规的规定，且不违背公序良俗。

需要说明的是，本实施例中的攻击流量并不是针对某一特定用户的流量，并不能反映出某一特定用户的个人信息。

需要说明的是，本实施例中的攻击流量可以来自于公开数据集。

根据本公开的实施例，本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。

图8示出了可以用来实施本公开的实施例的示例电子设备800的示意性框图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本公开的实现。

如图8所示，电子设备800包括计算单元801，其可以根据存储在只读存储器(ROM)802中的计算机程序或者从存储单元808加载到随机访问存储器(RAM)803中的计算机程序，来执行各种适当的动作和处理。在RAM 803中，还可存储电子设备800操作所需的各种程序和数据。计算单元801、ROM 802以及RAM 803通过总线804彼此相连。输入/输出(I/O)接口805也连接至总线804。

电子设备800中的多个部件连接至I/O接口805，包括：输入单元806，例如键盘、鼠标等；输出单元807，例如各种类型的显示器、扬声器等；存储单元808，例如磁盘、光盘等；以及通信单元809，例如网卡、调制解调器、无线通信收发机等。通信单元809允许电子设备800通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。

计算单元801可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元801的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元801执行上文所描述的各个方法和处理，例如Web应用防火墙测试方法。例如，在一些实施例中，Web应用防火墙测试方法可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元808。在一些实施例中，计算机程序的部分或者全部可以经由ROM 802和/或通信单元809而被载入和/或安装到电子设备800上。当计算机程序加载到RAM 803并由计算单元801执行时，可以执行上文描述的Web应用防火墙测试方法的一个或多个步骤。备选地，在其他实施例中，计算单元801可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行Web应用防火墙测试方法。

本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。

用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。

在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。

为了提供与用户的交互，可以在计算机上实施此处描述的系统和技术，该计算机具有：用于向用户显示信息的显示装置(例如，CRT(阴极射线管)或者LCD(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。

可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(LAN)、广域网(WAN)和互联网。

计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，也可以为分布式系统的服务器，或者是结合了区块链的服务器。

应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本公开公开的技术方案所期望的结果，本文在此不进行限制。

上述具体实施方式，并不构成对本公开保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等，均应包含在本公开保护范围之内。

Claims

1.一种Web应用防火墙测试方法，包括：

基于所述攻击流量生成测试用例；

利用所述测试用例对待测试Web应用防火墙进行测试，得到测试结果。

2.根据权利要求1所述的方法，其中，所述基于所述攻击流量生成测试用例，包括：

3.根据权利要求1或2所述的方法，其中，所述测试用例存在多个，所述利用所述测试用例对待测试Web应用防火墙进行测试，得到测试结果，包括：

根据所述漏报率和所述误报率，生成测试报告。

4.根据权利要求1所述的方法，所述方法还包括：

监测所述待测试Web应用防火墙是否存在新版本；

当Web应用防火墙存在新版本时，安装新版本，将新版本作为所述待测试Web应用防火墙。

5.根据权利要求4所述的方法，其中，所述监测所述待测试Web应用防火墙是否存在新版本，包括：

周期性地向版本管理平台发送获取请求；

6.一种Web应用防火墙测试装置，包括：

生成模块，用于基于所述攻击流量生成测试用例；

7.根据权利要求6所述的装置，其中，所述生成模块，具体用于：

8.根据权利要求6或7所述的装置，其中，所述测试用例存在多个，所述测试模块，具体用于：

根据所述漏报率和所述误报率，生成测试报告。

9.根据权利要求6所述的装置，所述装置还包括：监测模块和安装模块；

所述监测模块，用于监测所述待测试Web应用防火墙是否存在新版本；

所述安装模块，用于当Web应用防火墙存在新版本时，安装新版本，将新版本作为所述待测试Web应用防火墙。

10.根据权利要求9所述的装置，其中，所述监测模块，具体用于：

周期性地向版本管理平台发送获取请求；

11.一种电子设备，包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1-5中任一项所述的方法。

12.一种存储有计算机指令的非瞬时计算机可读存储介质，其中，所述计算机指令用于使所述计算机执行根据权利要求1-5中任一项所述的方法。

13.一种计算机程序产品，包括计算机程序，所述计算机程序在被处理器执行时实现根据权利要求1-5中任一项所述的方法。