CN114637690B - 一种api渗透测试方法、系统、电子设备及存储介质 - Google Patents
一种api渗透测试方法、系统、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114637690B CN114637690B CN202210495634.3A CN202210495634A CN114637690B CN 114637690 B CN114637690 B CN 114637690B CN 202210495634 A CN202210495634 A CN 202210495634A CN 114637690 B CN114637690 B CN 114637690B
- Authority
- CN
- China
- Prior art keywords
- interface
- logic
- data
- loopholes
- acquiring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
- G06F11/3688—Test management for test execution, e.g. scheduling of test suites
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Quality & Reliability (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种API渗透测试方法、系统、电子设备及存储介质,所述方法包括如下步骤:获取整理好的业务逻辑数据;获取整理好的接口文档数据;根据业务逻辑数据检查并获取业务逻辑上存在的逻辑漏洞;根据接口文档数据检查并获取接口文档中存在的接口漏洞;根据获取的逻辑漏洞和接口漏洞进行渗透测试,该种API渗透测试方法,通过多个角度对任务计划的业务逻辑和接口数据进行渗透性测试,确保每个业务逻辑功能或者接口数据均得到有效的测试,从而获取软件存在的漏洞,通过后期针对漏洞来完善该软件,以此获得更加稳定和安全的软件。
Description
技术领域
本发明涉及数据安全技术领域,具体涉及一种API渗透测试方法、系统、电子设备及存储介质。
背景技术
任务计划3.0版本软件主要负责对跟踪计划进行展示和设置跟踪、对卫星测站天线进行编辑管理、对任务值班人员进行排班设计、对所跟踪计划进行倒计时统计、对用户申请进行审核、统计所跟踪的圈次以及系统日志的展示等多个功能,但是目前对于任务计划软件的数据稳定性和安全性还不能保证,一旦出现数据泄露或者丢失将会导致严重的后果,因此需要针对该软件进行测试,以确保该软件获得足够的安全性,但是目前一般的测试方法均无法满足测试要求。
发明内容
本发明的目的在于提供一种API渗透测试方法、系统、电子设备及存储介质,以解决现有技术中寻常测试方法无法对任务计划软件的安全性进行有效的测试的缺陷。
以下通过四个方面进一步阐述本发明的内容:
第一方面,提供了一种API渗透测试方法,所述方法包括如下步骤:获取整理好的业务逻辑数据;
获取整理好的接口文档数据;
根据业务逻辑数据检查并获取业务逻辑上存在的逻辑漏洞;
根据接口文档数据检查并获取接口文档中存在的接口漏洞;
根据获取的逻辑漏洞和接口漏洞进行渗透测试。
结合第一方面,获取整理好的业务逻辑数据的方法包括如下步骤:
遍历任务计划平台的所有服务并进行整理归档,包括跟踪计划服务、推送服务、查找服务、结果响应展示服务、数据请求、数据授权、用户端确认操作、逻辑判断中的一种或多种。
结合第一方面,获取整理好的接口文档数据的方法包括如下步骤:
将任务计划平台的所有接口进行整理统计并归档,包括查询卫星列表接口、查询测站列表接口、获取长管人员信息接口、查询接口、导出计划以及点击跟踪中的一种或多种。
结合第一方面,根据业务逻辑数据检查并获取业务逻辑上存在的逻辑漏洞的方法包括如下步骤:
对每个业务逻辑进行检查,并判断逻辑中是否存在逻辑漏洞;
若存在逻辑漏洞,则将存在逻辑漏洞的业务逻辑保存记录下来;
其中,判断逻辑中是否存在逻辑漏洞的方法包括:
通过多种数据多次在极端情况下执行业务逻辑,若在多次执行后数据仍旧保持稳定不出错,则认为所述业务逻辑不存在逻辑漏洞。
结合第一方面,根据接口文档数据检查并获取接口文档中存在的接口漏洞的方法包括如下步骤:
对每个接口进行逐个检查,并判断接口文档中的接口是否存在接口漏洞;
将存在接口漏洞的该接口保持记录下来;
其中,判断接口文档中的接口是否存在接口漏洞的方包括:
设置多组数据通过接口进行传输,并检查数据传输过程中是否有数据泄露或数据丢失;
若经过多次传输后数据没用泄露或者丢失则认为该接口不存在接口漏洞。
结合第一方面,根据获取的逻辑漏洞和接口漏洞进行渗透测试的方法包括如下步骤:
根据获取的逻辑漏洞和接口漏洞进行不同层度的会话攻击,获取逻辑漏洞或接口漏洞中是否设置超时,若没有,则进行渗透测试。
第二方面,提供了一种API渗透测试系统,所述系统包括:
第一获取模块:用于获取整理好的业务逻辑数据;
第二获取模块:用于获取整理好的接口文档数据;
第一判断模块:用于根据业务逻辑数据检查并获取业务逻辑上存在的逻辑漏洞;
第二判断模块:用于根据接口文档数据检查并获取接口文档中存在的接口漏洞;
测试模块:用于根据获取的逻辑漏洞和接口漏洞进行渗透测试。
结合第二方面,所述第一判断模块对每个业务逻辑进行检查,并判断逻辑中是否存在逻辑漏洞;
若存在逻辑漏洞,则将存在逻辑漏洞的业务逻辑保存记录下来;
其中,判断逻辑中是否存在逻辑漏洞的方法包括:
通过多种数据多次在极端情况下执行业务逻辑,若在多次执行后数据仍旧保持稳定不出错,则认为所述业务逻辑不存在逻辑漏洞;
所述第二判断模块对每个接口进行逐个检查,并判断接口文档中的接口是否存在接口漏洞;
将存在接口漏洞的该接口保持记录下来;
其中,判断接口文档中的接口是否存在接口漏洞的方包括:
设置多组数据通过接口进行传输,并检查数据传输过程中是否有数据泄露或数据丢失;
若经过多次传输后数据没用泄露或者丢失则认为该接口不存在接口漏洞。
第三方面,提供了一种电子设备,所述电子设备包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器执行第一方面所述的API渗透测试方法。
第四方面,提供了一种计算机可读存储介质,所述存储介质上存储有计算机程序,当所述计算机程序被处理器执行时,实现如第一方面所述的API渗透测试方法。
本发明的优点在于:该种API渗透测试方法,通过多个角度对任务计划的业务逻辑和接口数据进行渗透性测试,确保每个业务逻辑功能或者接口数据均得到有效的测试,从而获取软件存在的漏洞,通过后期针对漏洞来完善该软件,以此获得更加稳定和安全的软件。
附图说明
图1为本发明中方法的结构示意图。
图2为本发明中系统的结构框图。
图3为本发明中测运控服务平台的结构示意图。
图4为本发明中任务计划的模块组成结构示意图。
图5为本发明中接口文档的构成示意图。
具体实施方式
为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体实施方式,进一步阐述本发明。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、 “底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以通过具体情况理解上述术语在本发明中的具体含义。
任务计划3.0版本软件主要负责对跟踪计划进行展示和设置跟踪、对卫星测站天线进行编辑管理、对任务值班人员进行排班设计、对所跟踪计划进行倒计时统计、对用户申请进行审核、统计所跟踪的圈次以及系统日志的展示等多个功能。测运控服务平台的构成如下图3所示:
主要包括虚拟路由分发、轨道计算与控制、系统配置、卫星故障诊断、任务计划、二三维演示、卫星遥测处理、卫星遥控管理和任务调度模块。
如图4所示,任务计划3.0版本软件由总览、跟踪计划、排班设置、设备计划总览、跟踪状态、申请和审核、系统管理、跟踪计划、系统日志、通用任务计划等多模块组成。
本发明是基于任务计划进行的渗透测试:
任务计划的主要接口类型为restful,有部分接口采用的SOAP API,下面针对两种接口类型进行不同的渗透测试方法:
restful API:接口数据格式为JSON,XML;
由于restful接口数据交互格式大多数为JSON,由多个参数组成的JSON结构作为参数与服务器进行交互,因此无法使用FUZZ;
任务计划的业务逻辑包括但不限于如下步骤:
Step0-1:启动微服务后,加载已存在跟踪计划;
Step0-2:启动webSocket推送服务。
Step1-1:查找跟踪计划中是否有与此信息冲突的计划,并决定是否跟踪;
Step1-2:响应结果并展示。
Step2-1:用户端点击跟踪;
Step2-2:查找跟踪计划中是否存在与此信息冲突的计划,并决定是否跟踪;
Step2-3:查找测站此时间段是否被占用 ;
Step2-4:返回可用状态;
Step2-5:调用消息推送服务,发送结果;
Step2-6:响应。
Step3-1:取消跟踪结果;
Step3-2:响应。
其中,WebSocket使得客户端和服务器之间的数据交换变得更加简单,允许服务端主动向客户端推送数据。在WebSocket API中,浏览器和服务器只需要完成一次握手,两者之间就直接可以创建持久性的连接,并进行双向数据传输。
其中任务计划的跟踪计划具体包括:
功能需求
①分页展示跟踪列表数据-自选每页条目数,以及跳转页数;
②根据圈次类型展示数据:
1)全部圈次:按需展示所有圈次;
2)计划圈次:展示所有已跟踪圈次;
3)成功圈次:已过时圈次中设置结果为 跟踪正常 的圈次;
4)异常圈次:已过时圈次中设置结果为 非跟踪正常 的圈次;
③根据卫星、测站、圈号、任务类型、值班人员、开始时间、结束时间、最低仰角、过境时长进行筛选展示;
④自定义展示所需的字段;
⑤对每页所展示数据进行冲突判断和设备不可用判断:
1)冲突判断:每圈次在任务开始时间-5min—结束时间+5min内是否有相应测站及其伺服天线跟踪任务进行中,若有则判断为冲突;
2)设备不可用判断:每圈次任务设备在这一时间段内是否有临时原因或周期性原因不可用,如有则判断为冲突;
若两种情况均出现,则优先展示设备不可用状态。
⑥对圈次进行跟踪、跟踪设置、结果上报、取消跟踪、申请跟踪操作:
1)管理员:
a.对自有站进行跟踪-会有冲突提示,可以进行强制跟踪,跟踪后状态改变;
b.对外协站进行申请跟踪-会有冲突提示,可以进行强制跟踪,跟踪后进入审核阶段;
c.跟踪设置-若任务简述为空,则初次提交或再次修改跟踪设置信息直接生效,无需审核。若已填写任务简述,则再次提交需管理员审核;
d.结果上报-若跟踪结果说明为空,则初次提交或再次结果上报信息直接生效,无需审核。若已填写跟踪结果说明,则再次提交需管理员审核;
e.取消跟踪-提示是否确认取消;外协站只能取消距开始时间大于40min的圈次;对已过时的自有站圈次可以发起取消申请;
2)商业用户:
a.对自有站圈次申请跟踪-会做任务是否冲突判断,并提供继续跟踪的功能,由管理员判断是否通过。注:只能跟踪未开始的圈次;
b.取消跟踪-只能取消未开始的圈次;取消过时圈次会有提示;
⑦展示地图-展示所选圈次在地图中的卫星运动轨迹;
⑧批量导出引导文件-导出设备所对应的引导文件;
批量导出跟踪计划-导出跟踪计划文件。
如图1至图5所示,一种API渗透测试方法,所述方法包括如下步骤:
S1:获取整理好的业务逻辑数据;
具体步骤包括:
遍历任务计划平台的所有服务并进行整理归档,包括跟踪计划服务、推送服务、查找服务、结果响应展示服务、数据请求、数据授权、用户端确认操作、逻辑判断中的一种或多种。
S2:获取整理好的接口文档数据;
具体步骤包括:
将任务计划平台的所有接口进行整理统计并归档,包括查询卫星列表接口、查询测站列表接口、获取长管人员信息接口、查询接口、导出计划以及点击跟踪中的一种或多种。
S3:根据业务逻辑数据检查并获取业务逻辑上存在的逻辑漏洞;
具体步骤包括:
对每个业务逻辑进行检查,并判断逻辑中是否存在逻辑漏洞;
若存在逻辑漏洞,则将存在逻辑漏洞的业务逻辑保存记录下来;
其中,判断逻辑中是否存在逻辑漏洞的方法包括:
通过多种数据多次在极端情况下执行业务逻辑,若在多次执行后数据仍旧保持稳定不出错,则认为所述业务逻辑不存在逻辑漏洞;
例如:多次访问请求令牌,包括单个用户在短时间内多次进行请求访问,或者多个用户在同一时间进行请求访问,检查平台的应对情况,如果出现逻辑上的错误,则将其作为逻辑漏洞。
S4:根据接口文档数据检查并获取接口文档中存在的接口漏洞;
具体步骤包括:
对每个接口进行逐个检查,并判断接口文档中的接口是否存在接口漏洞;
将存在接口漏洞的该接口保持记录下来;
其中,判断接口文档中的接口是否存在接口漏洞的方包括:
设置多组数据通过接口进行传输,并检查数据传输过程中是否有数据泄露或数据丢失;
若经过多次传输后数据没用泄露或者丢失则认为该接口不存在接口漏洞;
例如:向接口传输大量的敏感数据,并在同一时间请求访问或者使该敏感数据,检查接口处是否会泄露这些敏感数据,如果存在数据泄露或者丢失的情况,则将其作为接口漏洞;
或者构造SQL语句进行攻击,通过该种网络攻击来获取平台中用户加密后的数据,如果获取成功则将其作为接口漏洞。
S5:根据获取的逻辑漏洞和接口漏洞进行渗透测试;
测试的具体步骤包括:
根据获取的逻辑漏洞和接口漏洞进行不同层度的会话攻击,获取逻辑漏洞或接口漏洞中是否设置超时,若没有,则进行渗透测试。
会话固定攻击(session fixation attack)是利用应用系统在服务器的会话ID固定不变机制,借助他人用相同的会话ID获取认证和授权,然后利用该会话ID劫持他人的会话以成功冒充他人,造成会话固定攻击。会话固定也是会话劫持的一种类型。会话劫持是攻击者偷走受害者与服务器建立链接的会话,而会话固定是攻击者事先建立一个会话,然后诱使受害者使用此会话进行登录。
由于SOAP是严格遵循XML消息定义的消息交换协议,因此可以做出的渗透攻击有XML类攻击,和针对该安全框架实现的安全问题,可以找到的攻击为:明文传输,
具体方法是通过burpsuite工具拦截系统请求,查看请求中是否包含有敏感信息,检查敏感信息加密方式。特别需要重点检查的是用户口令、邮箱密码、用户私密信息。当攻击者获取到这些数据之后,就可以用这些信息以合法用户的身份进入到应用系统中——甚至可能进入到应用系统后台中,一旦进入到应用系统中那么就可以获取更多的敏感数据,以及更有机会发现更多的漏洞。
基于上述的方法,提供了一种API渗透测试系统,所述系统包括:
第一获取模块:用于获取整理好的业务逻辑数据;
第二获取模块:用于获取整理好的接口文档数据;
第一判断模块:用于根据业务逻辑数据检查并获取业务逻辑上存在的逻辑漏洞;
第二判断模块:用于根据接口文档数据检查并获取接口文档中存在的接口漏洞;
测试模块:用于根据获取的逻辑漏洞和接口漏洞进行渗透测试。
其中,所述第一判断模块对每个业务逻辑进行检查,并判断逻辑中是否存在逻辑漏洞;
若存在逻辑漏洞,则将存在逻辑漏洞的业务逻辑保存记录下来;
其中,判断逻辑中是否存在逻辑漏洞的方法包括:
通过多种数据多次在极端情况下执行业务逻辑,若在多次执行后数据仍旧保持稳定不出错,则认为所述业务逻辑不存在逻辑漏洞;
所述第二判断模块对每个接口进行逐个检查,并判断接口文档中的接口是否存在接口漏洞;
将存在接口漏洞的该接口保持记录下来;
其中,判断接口文档中的接口是否存在接口漏洞的方包括:
设置多组数据通过接口进行传输,并检查数据传输过程中是否有数据泄露或数据丢失;
若经过多次传输后数据没用泄露或者丢失则认为该接口不存在接口漏洞。
一种电子设备,所述电子设备包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器执行上述API渗透测试方法。
一种计算机可读存储介质,述存储介质上存储有计算机程序,当所述计算机程序被处理器执行时,实现如上述的API渗透测试方法。
由技术常识可知,本发明可以通过其它的不脱离其精神实质或必要特征的实施方案来实现。因此,上述公开的实施方案,就各方面而言,都只是举例说明,并不是仅有的。所有在本发明范围内或在等同于本发明的范围内的改变均被本发明包含。
Claims (6)
1.一种API渗透测试方法,其特征在于,所述方法包括如下步骤:
获取整理好的业务逻辑数据;
获取整理好的接口文档数据;
根据业务逻辑数据检查并获取业务逻辑上存在的逻辑漏洞;
根据接口文档数据检查并获取接口文档中存在的接口漏洞;
根据获取的逻辑漏洞和接口漏洞进行渗透测试;
根据业务逻辑数据检查并获取业务逻辑上存在的逻辑漏洞的方法包括如下步骤:
对每个业务逻辑进行检查,并判断逻辑中是否存在逻辑漏洞;
若存在逻辑漏洞,则将存在逻辑漏洞的业务逻辑保存记录下来;
其中,判断逻辑中是否存在逻辑漏洞的方法包括:
通过多种数据多次在极端情况下执行业务逻辑,若在多次执行后数据仍旧保持稳定不出错,则认为所述业务逻辑不存在逻辑漏洞;
根据接口文档数据检查并获取接口文档中存在的接口漏洞的方法包括如下步骤:
对每个接口进行逐个检查,并判断接口文档中的接口是否存在接口漏洞;
将存在接口漏洞的该接口保持记录下来;
其中,判断接口文档中的接口是否存在接口漏洞的方包括:
设置多组数据通过接口进行传输,并检查数据传输过程中是否有数据泄露或数据丢失;
若经过多次传输后数据没有 泄露或者丢失则认为该接口不存在接口漏洞;
根据获取的逻辑漏洞和接口漏洞进行渗透测试的方法包括如下步骤:
根据获取的逻辑漏洞和接口漏洞进行不同层度的会话攻击,获取逻辑漏洞或接口漏洞中是否设置超时,若没有,则进行渗透测试。
2.根据权利要求1所述的一种API渗透测试方法,其特征在于:获取整理好的业务逻辑数据的方法包括如下步骤:
遍历任务计划平台的所有服务并进行整理归档,包括跟踪计划服务、推送服务、查找服务、结果响应展示服务、数据请求、数据授权、用户端确认操作、逻辑判断中的一种或多种。
3.根据权利要求2所述的一种API渗透测试方法,其特征在于:获取整理好的接口文档数据的方法包括如下步骤:
将任务计划平台的所有接口进行整理统计并归档,包括查询卫星列表接口、查询测站列表接口、获取长管人员信息接口、查询接口、导出计划以及点击跟踪中的一种或多种。
4.一种API渗透测试系统,其特征在于:所述系统包括:
第一获取模块:用于获取整理好的业务逻辑数据;
第二获取模块:用于获取整理好的接口文档数据;
第一判断模块:用于根据业务逻辑数据检查并获取业务逻辑上存在的逻辑漏洞;
第二判断模块:用于根据接口文档数据检查并获取接口文档中存在的接口漏洞;
测试模块:用于根据获取的逻辑漏洞和接口漏洞进行渗透测试;
所述第一判断模块对每个业务逻辑进行检查,并判断逻辑中是否存在逻辑漏洞;
若存在逻辑漏洞,则存在逻辑漏洞的业务逻辑保存记录下来;
其中,判断逻辑中是否存在逻辑漏洞的方法包括:
通过多种数据多次在极端情况下执行业务逻辑,若在多次执行后数据仍旧保持稳定不出错,则认为所述业务逻辑不存在逻辑漏洞;
所述第二判断模块对每个接口进行逐个检查,并判断接口文档中的接口是否存在接口漏洞;
将存在接口漏洞的该接口保持记录下来;
其中,判断接口文档中的接口是否存在接口漏洞的方包括:
设置多组数据通过接口进行传输,并检查数据传输过程中是否有数据泄露或数据丢失;
若经过多次传输后数据没有 泄露或者丢失则认为该接口不存在接口漏洞;
根据获取的逻辑漏洞和接口漏洞进行渗透测试的方法包括如下步骤:
根据获取的逻辑漏洞和接口漏洞进行不同层度的会话攻击,获取逻辑漏洞或接口漏洞中是否设置超时,若没有,则进行渗透测试。
5.一种电子设备,其特征在于,所述电子设备包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器执行权利要求1至3任意一项所述的API渗透测试方法。
6.一种计算机可读存储介质,其特征在于:所述存储介质上存储有计算机程序,当所述计算机程序被处理器执行时,实现如权利要求1至3任一项所述的API渗透测试方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210495634.3A CN114637690B (zh) | 2022-05-09 | 2022-05-09 | 一种api渗透测试方法、系统、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210495634.3A CN114637690B (zh) | 2022-05-09 | 2022-05-09 | 一种api渗透测试方法、系统、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114637690A CN114637690A (zh) | 2022-06-17 |
| CN114637690B true CN114637690B (zh) | 2023-04-11 |
Family
ID=81953000
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210495634.3A Active CN114637690B (zh) | 2022-05-09 | 2022-05-09 | 一种api渗透测试方法、系统、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114637690B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9239745B1 (en) * | 2006-09-28 | 2016-01-19 | Whitehat Security, Inc. | Method and apparatus for managing security vulnerability lifecycles |
| CN105279086A (zh) * | 2015-10-16 | 2016-01-27 | 山东大学 | 一种基于流程图的自动检测电子商务网站逻辑漏洞的方法 |
| CN108572911A (zh) * | 2017-03-14 | 2018-09-25 | 北京京东尚科信息技术有限公司 | 自动化安全测试方法、装置、电子设备和可读存储介质 |
| US10489582B1 (en) * | 2017-04-27 | 2019-11-26 | American Megatrends International, Llc | Firmware security vulnerability verification service |
| US11030318B1 (en) * | 2017-02-03 | 2021-06-08 | Synopsys, Inc. | Interactive verification of security vulnerability detections using runtime application traffic |
| CN113032792A (zh) * | 2021-04-12 | 2021-06-25 | 中国移动通信集团陕西有限公司 | 系统业务漏洞检测方法、系统、设备及存储介质 |
| CN113868659A (zh) * | 2021-10-20 | 2021-12-31 | 前锦网络信息技术(上海)有限公司 | 一种漏洞检测方法及系统 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10121009B2 (en) * | 2015-09-25 | 2018-11-06 | Synack, Inc. | Computer system for discovery of vulnerabilities in applications including guided tester paths based on application coverage measures |
| US10387656B2 (en) * | 2016-03-21 | 2019-08-20 | Checkmarx Ltd. | Integrated interactive application security testing |
| CN110390202B (zh) * | 2019-07-30 | 2021-06-18 | 中国工商银行股份有限公司 | 用于检测业务逻辑漏洞的方法、装置、系统、设备及介质 |
| CN110414242B (zh) * | 2019-08-02 | 2021-12-07 | 中国工商银行股份有限公司 | 用于检测业务逻辑漏洞的方法、装置、设备及介质 |
| CN111931188B (zh) * | 2020-08-13 | 2023-09-08 | 中国工商银行股份有限公司 | 登陆场景下漏洞测试方法及系统 |
| CN112906010B (zh) * | 2021-05-07 | 2021-07-20 | 北京安普诺信息技术有限公司 | 一种自动化攻击测试方法及基于此的自动化安全测试方法 |
| CN113176968B (zh) * | 2021-05-25 | 2023-08-18 | 平安国际智慧城市科技股份有限公司 | 基于接口参数分类的安全测试方法、装置及存储介质 |
| CN113382006B (zh) * | 2021-06-15 | 2022-12-16 | 中国信息通信研究院 | 物联网终端安全与风险评估评测方法 |
| CN113486358B (zh) * | 2021-07-09 | 2023-06-02 | 建信金融科技有限责任公司 | 一种漏洞检测方法及装置 |
| CN113923007A (zh) * | 2021-09-30 | 2022-01-11 | 绿盟科技集团股份有限公司 | 一种安全渗透测试方法、装置、电子设备及存储介质 |
| CN114328196A (zh) * | 2021-12-16 | 2022-04-12 | 北京明朝万达科技股份有限公司 | 数据防泄漏系统的测试方法、装置、设备及存储介质 |
-
2022
- 2022-05-09 CN CN202210495634.3A patent/CN114637690B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9239745B1 (en) * | 2006-09-28 | 2016-01-19 | Whitehat Security, Inc. | Method and apparatus for managing security vulnerability lifecycles |
| CN105279086A (zh) * | 2015-10-16 | 2016-01-27 | 山东大学 | 一种基于流程图的自动检测电子商务网站逻辑漏洞的方法 |
| US11030318B1 (en) * | 2017-02-03 | 2021-06-08 | Synopsys, Inc. | Interactive verification of security vulnerability detections using runtime application traffic |
| CN108572911A (zh) * | 2017-03-14 | 2018-09-25 | 北京京东尚科信息技术有限公司 | 自动化安全测试方法、装置、电子设备和可读存储介质 |
| US10489582B1 (en) * | 2017-04-27 | 2019-11-26 | American Megatrends International, Llc | Firmware security vulnerability verification service |
| CN113032792A (zh) * | 2021-04-12 | 2021-06-25 | 中国移动通信集团陕西有限公司 | 系统业务漏洞检测方法、系统、设备及存储介质 |
| CN113868659A (zh) * | 2021-10-20 | 2021-12-31 | 前锦网络信息技术(上海)有限公司 | 一种漏洞检测方法及系统 |
Non-Patent Citations (4)
| Title |
|---|
| Src挖掘技巧分享 | 谈谈业务逻辑漏洞;白帽子社区;《https://www.wangan.com/p/7fy7f6b47ded9dea》;20220507;全文 * |
| 业务逻辑漏洞总结;随风kali;《https://www.cnblogs.com/sfsec/p/15306557.html》;20210917;全文 * |
| 渗透测试之记一次红包激励模块逻辑漏洞测试总;大叔老蒋;《https://segmentfault.com/a/1190000041783732》;20220501;全文 * |
| 逻辑漏洞简单入门学习;Vdieoo;《https://blog.csdn.net/Vdieoo/article/details/109487335》;20201104;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114637690A (zh) | 2022-06-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10452851B2 (en) | Automated security assessment of business-critical systems and applications | |
| CN104092542B (zh) | 一种账号登录方法、装置及系统 | |
| US7577689B1 (en) | Method and system to archive data | |
| US11416641B2 (en) | Incident-driven introspection for data loss prevention | |
| CN113079164B (zh) | 堡垒机资源的远程控制方法、装置、存储介质及终端设备 | |
| US20120110058A1 (en) | Management system and information processing method for computer system | |
| CN113868659B (zh) | 一种漏洞检测方法及系统 | |
| CN110875922B (zh) | 一站式办公管理系统 | |
| CN111787030B (zh) | 网络安全巡检方法、装置、设备及存储介质 | |
| KR100898867B1 (ko) | 기업 it 보안 업무 관리 시스템 및 방법 | |
| CN112738138A (zh) | 云安全托管方法、装置、设备及存储介质 | |
| US9230004B2 (en) | Data processing method, system, and computer program product | |
| CN114637690B (zh) | 一种api渗透测试方法、系统、电子设备及存储介质 | |
| US7845001B2 (en) | Method and system for managing secure platform administration | |
| CN107155185B (zh) | 一种接入wlan的认证方法、装置及系统 | |
| CN115733666A (zh) | 一种密码管理方法、装置、电子设备及可读存储介质 | |
| CN104079549A (zh) | 信息处理设备、信息处理系统和信息处理方法 | |
| CN114037523A (zh) | 函证业务测试方法、装置、设备、介质及程序产品 | |
| EP3794453B1 (en) | Extensible, secure and efficient monitoring & diagnostic pipeline for hybrid cloud architecture | |
| CN114257436A (zh) | 适用于堡垒机的访问安全管理方法、系统、电子设备和可读存储介质 | |
| JP4016017B2 (ja) | データバックアップ方法及びコンピュータシステム | |
| US20240184914A1 (en) | Multiple synonymous identifiers in data privacy integration protocols | |
| CN116453636A (zh) | 医学临床试验远程监查方法、装置、电子设备和存储介质 | |
| US8825828B2 (en) | Method and system for implementing notifications | |
| US20240061916A1 (en) | Systems and methods for access authentication using prioritized personal information questions for data access and deletion in distributed service systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |