CN115225531B - 数据库防火墙测试方法、装置、电子设备及介质 - Google Patents
数据库防火墙测试方法、装置、电子设备及介质 Download PDFInfo
- Publication number
- CN115225531B CN115225531B CN202210837548.6A CN202210837548A CN115225531B CN 115225531 B CN115225531 B CN 115225531B CN 202210837548 A CN202210837548 A CN 202210837548A CN 115225531 B CN115225531 B CN 115225531B
- Authority
- CN
- China
- Prior art keywords
- configuration information
- tested
- database
- target data
- data messages
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012360 testing method Methods 0.000 title claims abstract description 76
- 230000002159 abnormal effect Effects 0.000 claims abstract description 21
- 238000000034 method Methods 0.000 claims description 32
- 230000004048 modification Effects 0.000 claims description 13
- 238000012986 modification Methods 0.000 claims description 13
- 238000004088 simulation Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 2
- 238000004891 communication Methods 0.000 abstract description 10
- 230000007123 defense Effects 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 102200084388 rs121918345 Human genes 0.000 description 3
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 102220495430 Glutaredoxin-like protein C5orf63_S12A_mutation Human genes 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及网络通信技术领域,尤其涉及一种数据库防火墙测试方法、装置、电子设备及介质,通过配置被测数据库防火墙对应的至少一组第一配置信息,其中,每组第一配置信息包括:数据库协议配置信息、结构化查询语言配置信息、待测试报文配置信息以及速率配置信息;根据每组第一配置信息,得到至少两个目标待测试数据报文,其中,目标待测试数据报文包括正常目标待测试数据报文,或异常目标待测试数据报文;根据至少两个目标待测试数据报文,对被测数据库防火墙进行测试操作,以得到测试结果,采用该方式提高了对数据库防火墙的测试效率。
Description
技术领域
本公开涉及网络通信技术领域,尤其涉及一种数据库防火墙测试方法、装置、电子设备及介质。
背景技术
随着数据库被广泛的应用到各行各业中,伴随着数据库的安全也愈发重要,但是由于目前数据库攻击手段层出不穷,从而造成的危害也越来越严重。对于现有的网站应用级入侵防御系统(Web Application Firewall,WAF),虽然也涉及到结构化查询语言(Structured Query Language,SQL)注入的防御技术,但是存在对SQL语句的防护针对性不强,且防御能力有限的问题,无法满足市场需求,由此数据库防火墙应运而生。数据库防火墙是针对关系型数据库的保护需求应运而生的一种数据库安全主动防御技术,通常部署于应用服务器和数据库之间。进一步的,为了保证能够有效防护数据库的安全,需要对数据库防火墙的健壮性进行测试。
现有技术中,一般是通过在客户端与服务端之间手动抓取正常数据报文,并通过人工的方式,根据数据库通信协议进行计算之后,对正常数据报文进行修改,从而根据修改后的数据报文对数据库防火墙的健壮性进行测试。
然而,采用现有技术,由于需要进行手动抓取正常数据报文,并进行计算后,人工的修改正常数据报文,从而造成对数据库防火墙的健壮性测试效率较低。
发明内容
基于此,有必要针对上述技术问题,提供了一种数据库防火墙测试方法、装置、电子设备及介质。
本公开实施例的第一方面,提供一种数据库防火墙测试方法,所述方法包括:
配置被测数据库防火墙对应的至少一组第一配置信息,其中,每组第一配置信息包括:数据库协议配置信息、结构化查询语言配置信息、待测试报文配置信息以及速率配置信息;
根据每组所述第一配置信息,得到至少两个目标待测试数据报文,其中,所述目标待测试数据报文包括正常目标待测试数据报文,或异常目标待测试数据报文;
根据至少两个所述目标待测试数据报文,对所述被测数据库防火墙进行测试操作,以得到测试结果。
在一个实施例中,所述根据每组所述第一配置信息,得到至少两个目标待测试数据报文之前,还包括:
配置被测数据库防火墙对应的至少一组第二配置信息,其中,每组第二配置信息包括客户端配置信息、服务端配置信息;
判断每组所述第一配置信息和每组所述第二配置信息中分别包括的任意配置信息是否均完成配置;
当确定每组所述第一配置信息和每组所述第二配置信息中分别包括的任意配置信息均完成配置时,根据所述客户端配置信息和所述服务端配置信息,判断模拟客户端与服务端的数据库连接是否连通;
当确定所述数据库连接连通时,根据每组所述第一配置信息,得到至少两个目标待测试数据报文。
在一个实施例中,所述方法还包括:
当确定所述数据库连接未连通时,向相关人员发送报错信息;
根据所述报错信息,重新配置所述客户端配置信息和所述服务端配置信息,以使所述数据库连接连通。
在一个实施例中,所述方法还包括:
当确定每组所述第一配置信息和每组所述第二配置信息中分别包括的任意配置信息存在未完成配置时,确定未完成配置的目标配置信息,并对所述目标配置信息重新进行配置。
在一个实施例中,所述根据每组所述第一配置信息,得到至少两个目标待测试数据报文,包括:
根据所述数据库协议配置信息,确定数据库协议类型;
根据所述数据库协议类型、所述结构化查询语言配置信息以及所述速率配置信息,得到至少两个初始待测试数据报文;
针对每个所述初始待测试数据报文,根据所述待测试报文配置信息,得到所述目标待测试数据报文。
在一个实施例中,针对每个所述初始待测试数据报文,根据所述待测试报文配置信息,得到所述目标待测试数据报文,包括:
针对每个所述初始待测试数据报文,根据所述待测试报文配置信息,确定对所述初始待测试数据报文的应用层有效载荷是否存在修改操作;
当确定对所述初始待测试数据报文的应用层有效载荷不存在修改操作时,得到正常目标待测试数据报文。
在一个实施例中,所述方法还包括:
当确定对所述初始待测试数据报文的应用层有效载荷存在修改操作时,得到异常目标待测试数据报文。
本公开实施例的第二方面,提供一种数据库防火墙测试装置,所述装置包括:
配置模块,用于配置被测数据库防火墙对应的至少一组第一配置信息,其中,每组第一配置信息包括:数据库协议配置信息、结构化查询语言配置信息、待测试报文配置信息以及速率配置信息;
目标待测试数据报文得到模块,用于根据每组所述第一配置信息,得到至少两个目标待测试数据报文,其中,所述目标待测试数据报文包括正常目标待测试数据报文,或异常目标待测试数据报文;
测试模块,用于根据至少两个所述目标待测试数据报文,对所述数据库防火墙进行测试操作,得到所述数据库防火墙的测试结果。
本公开实施例的第三方面,提供一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如第一方面中任一所述的方法。
第四方面,本公开实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如第一方面中任一所述的方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:
本公开提供了一种数据库防火墙测试方法、装置、电子设备及介质,通过配置被测数据库防火墙对应的至少一组第一配置信息,其中,每组第一配置信息包括:数据库协议配置信息、结构化查询语言配置信息、待测试报文配置信息以及速率配置信息;根据每组第一配置信息,得到至少两个目标待测试数据报文,其中,目标待测试数据报文包括正常目标待测试数据报文,或异常目标待测试数据报文;根据至少两个目标待测试数据报文,对被测数据库防火墙进行测试操作,以得到测试结果,这样通过配置一组或多组第一配置信息,能够根据每组第一配置信息自动的生成多个目标待测试数据报文,利用多个目标待测试数据报文实现对被测数据库防火墙的测试,避免现有技术中需要进行手动抓取正常数据报文,并进行计算后,人工的修改正常数据报文,从而提高了对数据库防火墙的测试效率。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的一种数据库防火墙测试方法的流程示意图;
图2为本公开实施例提供的一种数据库防火墙测试装置的结构示意图;
图3为本公开实施例提供的电子设备的内部结构图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
本公开的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便本公开的实施例能够以除了在这里图示或描述的那些以外的顺序实施,且“第一”、“第二”等所区分的对象通常为一类,并不限定对象的个数,例如第一对象可以是一个,也可以是多个。此外,说明书以及权利要求中“和/或”表示所连接对象的至少其中之一,字符“/”,一般表示前后关联对象是一种“或”的关系。
随着数据库被广泛的应用到各行各业中,伴随着数据库的安全也愈发重要,但是由于目前数据库攻击手段层出不穷,从而造成的危害也越来越严重。对于现有的网站应用级入侵防御系统(Web Application Firewall,WAF),虽然也涉及到结构化查询语言(Structured Query Language,SQL)注入的防御技术,但是存在对SQL语句的防护针对性不强,且防御能力有限的问题,无法满足市场需求,由此数据库防火墙应运而生。数据库防火墙是针对关系型数据库的保护需求应运而生的一种数据库安全主动防御技术,通常部署于应用服务器和数据库之间。进一步的,为了保证能够有效防护数据库的安全,需要对数据库防火墙的健壮性进行测试。
现有技术中,一般是通过在客户端与服务端之间手动抓取正常数据报文,并通过人工的方式,根据数据库通信协议进行计算之后,对正常数据报文进行修改,从而根据修改后的数据报文对数据库防火墙的健壮性进行测试。
然而,采用现有技术,由于需要进行手动抓取正常数据报文,并进行计算后,人工的修改正常数据报文,从而造成对数据库防火墙的健壮性测试效率较低。
基于此,本公开提供了一种数据库防火墙测试方法、装置、电子设备及介质,通过配置被测数据库防火墙对应的至少一组第一配置信息,其中,每组第一配置信息包括:数据库协议配置信息、结构化查询语言配置信息、待测试报文配置信息以及速率配置信息;根据每组第一配置信息,得到至少两个目标待测试数据报文,其中,目标待测试数据报文包括正常目标待测试数据报文,或异常目标待测试数据报文;根据至少两个目标待测试数据报文,对被测数据库防火墙进行测试操作,以得到测试结果,这样通过配置一组或多组第一配置信息,能够根据每组第一配置信息自动的生成多个目标待测试数据报文,利用多个目标待测试数据报文实现对被测数据库防火墙的测试,避免现有技术中需要进行手动抓取正常数据报文,并进行计算后,人工的修改正常数据报文,从而提高了对数据库防火墙的测试效率。
在一个实施例中,如图1所示,图1为本公开实施例提供的一种数据库防火墙测试方法的流程示意图,具体包括以下步骤:
S11:配置被测数据库防火墙对应的至少一组第一配置信息。
其中,每组第一配置信息包括:数据库协议配置信息、结构化查询语言配置信息、待测试报文配置信息以及速率配置信息。
上述数据库协议配置信息是指用来确定数据库协议类型的信息,示例性的,通过配置数据库协议类型可以是结构化查询语言(My Structured Query Language,Mysql)通信协议、Oracle通信协议、SQLserver通信协议,还可以是其他通信协议,但不限于此,本公开不具体限制,本领域技术人员可根据实际需求进行配置。
上述结构化查询语言配置信息是指用来在模拟客户端上用户输入的数据库查询语句,示例性的,例如该数据库查询语句可以是“select*from table1”,但不限于此,本公开不具体限制,本领域技术人员可根据实际需求进行配置。
上述待测试报文配置信息是用来在根据数据库协议配置信息和结构化查询语言配置信息得到初始待测试数据报文之后,针对初始待测试数据报文的应用层有效载荷,确定是否对应用层有效载荷进行修改的。示例性的,该待测试报文配置信息例如可以是“将应用层有效载荷的10-15字节的内容修改为00-11-ff-ff-11-00”,但不限于此,本公开不具体限制,本领域技术人员可根据实际需求进行配置。
上述速率配置信息是用来确定在得到待测试报文的连接方式、速率的,示例性的,可以配置模拟客户端与被测防火墙之间的连接方式为长连接,或者是短连接,每秒创建连接数可以是100,对于获取数据库查询语言可以是每秒十个,但不限于此,本公开不具体限制,本领域技术人员可根据实际需求进行配置。
示例性的,在用来对数据库防火墙进行测试的测试系统中,根据用户对被测数据库防火墙的测试内容,确定一组或多组第一配置信息,如:数据库协议配置信息、结构化查询语言配置信息、待测试报文配置信息以及速率配置信息,在确定一组或多组第一配置信息之后,在测试系统中的配置模块中进行配置,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况进行设置。
可选的,在上述实施例的基础上,在本公开一些实施例中,在执行S11之前,还包括:
步骤A:配置被测数据库防火墙对应的至少一组第二配置信息。
其中,每组第二配置信息包括客户端配置信息、服务端配置信息。每组第二配置信息是用来实现模拟客户端与服务端进行连接的,以此模拟用户对服务端的数据库进行访问。
上述客户端配置信息可以是客户端的互联网协议、端口号、模拟用户数,其中,互联网协议和端口号可以是通过固定的方式确定的,还可以是通过递增的方式、随机的方式确定的,示例性的,对于固定的方式可以是,人工配置互联网协议为“0000.0000.0000”和端口号为“1”,对于递增的方式可以是,在确定一个互联网协议或端口号之后,在确定的互联网协议或端口号上递增,如确定端口号为“1”,则通过递增的方式,端口号还可以为“2”、“3”、“4”,对于随机的方式可以是,随机得到的客户端的互联网协议和端口号;模拟用户数是指用来确定模拟用户对服务端的数据库进行访问的用户数量,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况进行设置。
上述服务端配置信息可以是服务端的互联网协议、端口的统一资源定位系统(uniform resource locator,URL)、数据库名称、用户账号、密码,示例性的,服务端的互联网协议例如可以是“192.168.10.54”,端口URL例如可以是“jdbc:mysql://{host}[:{port}][/{database}]”,数据库名称例如可以是“dbtest”,用户账号例如可以是“root”,密码例如可以是“talent”,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况进行设置。
需要说明的是,针对每组第二配置信息,是与每第一配置信息同时根据用户对被测数据库防火墙的测试内容确定的,并在测试系统中的配置模块中进行配置,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况进行设置。
步骤B:判断每组第一配置信息和每组第二配置信息中分别包括的任意配置信息是否均完成配置。
具体的,判断在配置模块中进行配置的每组第一配置信息和每组第二配置信息中分别包括的任意配置信息是否都完成配置了。
示例性的,对于上述判断任意配置信息是否完成配置,可以通过检测任意一个配置信息是否为空信息,当任意一个配置信息存在空信息时,则表示未完成配置,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况进行设置。
步骤C-1:当确定每组第一配置信息和每组第二配置信息中分别包括的任意配置信息均完成配置时,根据客户端配置信息和服务端配置信息,判断模拟客户端与服务端的数据库连接是否连通。
具体的,在确定每组第一配置信息和每组第二配置信息中分别包括的任意配置信息均完成配置的时候,根据客户端配置信息和服务端配置信息,以使模拟客户端与服务端进行连接,并判断模拟客户端与服务端的数据库连接是否连通。
示例性的,上述判断模拟客户端与服务端的数据库连接是否连通可以是通过确定模拟客户端上的模拟用户是否能够访问服务端的数据库,若能,则表明数据库连接连通,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况进行设置。
可选的,在上述实施例的基础上,在本公开一些实施例中,还包括:
步骤C-2:当确定每组第一配置信息和每组第二配置信息中分别包括的任意配置信息存在未完成配置时,确定未完成配置的目标配置信息,并对目标配置信息重新进行配置。
具体的,在确定每组第一配置信息和每组第二配置信息中分别包括的任意配置信息存在未完成配置的时候,确定没有完成配置的目标配置信息,根据用户预先对被测数据库防火墙的测试内容确定的每组第一配置信息和每组第二配置信息,在测试系统的配置模块中对目标配置信息重新进行配置。
这样,本实施例通过在确定每组第一配置信息和每组第二配置信息中包括的任意配置信息存在未完成配置的配置信息时,能够根据预先确定的每组第一配置信息和每组第二配置信息,及时对未完成配置的目标配置信息进行重新配置,以此保证能够正确的获取目标待测试数据报文。
步骤D-1:当确定数据库连接连通时,根据每组第一配置信息,得到至少两个目标待测试数据报文。
具体的,在确定数据库连接连通之后,根据每组第一配置信息,得到至少两个目标待测试数据报文。
可选的,在上述实施例的基础上,在本公开一些实施例中,还包括:
步骤D-21:当确定数据库连接未连通时,向相关人员发送报错信息。
步骤D-22:根据报错信息,重新配置客户端配置信息和服务端配置信息,以使数据库连接连通。
具体的,在确定数据库连接未连通之后,测试系统向相关人员发送报错信息,并指示客户端配置信息和服务端配置信息配置错误的相关信息,使得相关人员能够在配置模块重新对客户端配置信息和服务端配置信息进行配置,以使数据库连接能够连通。
S12:根据每组第一配置信息,得到至少两个目标待测试数据报文。
其中,目标待测试数据报文包括正常目标待测试数据报文,或异常目标待测试数据报文,正常目标待测试数据报文和异常目标待测试数据报文是根据待测试报文配置信息确定的。
可选的,在上述实施例的基础上,在本公开的一些实施例中,S12的一种执行方式可以是:
S12A:根据数据库协议配置信息,确定数据库协议类型。
具体的,根据一组第一配置信息中包括的数据库协议配置信息,能够确定数据库协议类型。
示例性的,承接上述实施例,数据库协议配置信息为配置数据库协议类型为Mysql通信协议,则可以确定数据库协议类型为Mysql通信协议,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况进行设置。
S12B:根据数据库协议类型、结构化查询语言配置信息以及速率配置信息,得到至少两个初始待测试数据报文。
S12C:针对每个初始待测试数据报文,根据待测试报文配置信息,得到目标待测试数据报文。
具体的,在确定了数据库协议类型之后,根据数据库协议类型、结构化查询语言配置信息以及速率配置信息,得到多个初始待测试数据报文,对于每一个初始待测试数据报文,根据待测试报文配置信息,得到目标待测试数据报文。
可选的,在上述实施例的基础上,在本公开的一些实施例中,S12C的一种实现方式可以是:
S12C1:针对每个初始待测试数据报文,根据待测试报文配置信息,确定对初始待测试数据报文的应用层有效载荷是否存在修改操作。
S12C2:当确定对初始待测试数据报文的应用层有效载荷不存在修改操作时,得到正常目标待测试数据报文。
具体的,在得到初始待测试数据报文之后,对于每个初始待测试数据报文,根据待测试报文配置信息,确定是否对初始待测试数据报文的应用层有效载荷进行修改操作,在确定对初始待测试数据报文的应用层有效载荷不进行修改操作时,得到正常目标待测试数据报文。
需要说明的是,此时的正常目标待测试数据报文为初始待测试数据报文。
可选的,在上述实施例的基础上,在本公开的一些实施例中,S12C的另一种实现方式可以是:
S12C3:当确定对初始待测试数据报文的应用层有效载荷存在修改操作时,得到异常目标待测试数据报文。
具体的,在得到初始待测试数据报文之后,对于每个初始待测试数据报文,根据待测试报文配置信息,确定是否对初始待测试数据报文的应用层有效载荷进行修改操作,在确定对初始待测试数据报文的应用层有效载荷进行修改操作时,得到异常目标待测试数据报文。
示例性的,当待测试报文配置信息为“将应用层有效载荷的10-15字节的内容修改为00-11-ff-ff-11-00”,则根据该待测试报文配置信息对初始待测试数据报文的应用层有效载荷进行修改,以得到异常目标待测试数据报文。
这样,本公开实施例根据待测试报文配置信息,能够自动得到多个正常目标待测试数据报文,或异常目标待测试数据报文,以此避免现有技术中人工获取待测试数据报文并进行修改,从而提高了对数据库防火墙测试的效率。
S13:根据至少两个目标待测试数据报文,对被测数据库防火墙进行测试操作,以得到测试结果。
其中,测试操作是指通过被测数据库防火墙对多个目标待测试数据报文进行测试的操作,示例性的,该测试操作可以是对多个目标待测试数据报文进行解码操作,或者还可以是对被测数据库防火墙的配置进行增删改查操作,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况设置,
具体的,在得到多个目标待测试数据报文,如多个正常目标待测试数据报文、或多个异常目标待测试数据报文,被测数据库防火墙对多个目标待测试数据报文进行解码之后,查看被测数据库防火墙的状态,以此实现对被测数据库防火墙的测试,并查看测试操作对应的防护日志告警信息,以此得到测试结果。
这样,本实施例公开的数据库防火墙测试方法,通过配置被测数据库防火墙对应的至少一组第一配置信息,其中,每组第一配置信息包括:数据库协议配置信息、结构化查询语言配置信息、待测试报文配置信息以及速率配置信息;根据每组第一配置信息,得到至少两个目标待测试数据报文,其中,目标待测试数据报文包括正常目标待测试数据报文,或异常目标待测试数据报文;根据至少两个目标待测试数据报文,对被测数据库防火墙进行测试操作,以得到测试结果,这样通过配置一组或多组第一配置信息,能够根据每组第一配置信息自动的生成多个目标待测试数据报文,利用多个目标待测试数据报文实现对被测数据库防火墙的测试,避免现有技术中需要进行手动抓取正常数据报文,并进行计算后,人工的修改正常数据报文,从而提高了对数据库防火墙的测试效率。
本公开实施例还提供了一种数据库防火墙测试装置,用于执行上述实施例提供的任一种数据库防火墙测试方法,具备数据库防火墙测试方法相应的有益效果。
图2为本公开实施例提供的一种数据库防火墙测试装置,包括:
配置模块11,用于配置被测数据库防火墙对应的至少一组第一配置信息,其中,每组第一配置信息包括:数据库协议配置信息、结构化查询语言配置信息、待测试报文配置信息以及速率配置信息。
目标待测试数据报文得到模块12,用于根据每组第一配置信息,得到至少两个目标待测试数据报文,其中,目标待测试数据报文包括正常目标待测试数据报文,或异常目标待测试数据报文。
测试模块13,用于根据至少两个目标待测试数据报文,对数据库防火墙进行测试操作,得到数据库防火墙的测试结果。
在上述实施例中,所述装置还包括:判断模块;
配置模块11,还用于配置被测数据库防火墙对应的至少一组第二配置信息,其中,每组第二配置信息包括客户端配置信息、服务端配置信息;
判断模块,用于判断每组第一配置信息和每组第二配置信息中分别包括的任意配置信息是否均完成配置。
当确定每组第一配置信息和每组第二配置信息中分别包括的任意配置信息均完成配置时,根据客户端配置信息和服务端配置信息,判断模拟客户端与服务端的数据库连接是否连通。
当确定数据库连接连通时,根据每组第一配置信息,得到至少两个目标待测试数据报文。
在上述实施例中,判断模块,还用于当确定所述数据库连接未连通时,向相关人员发送报错信息。
配置模块11,还用于根据报错信息,重新配置客户端配置信息和服务端配置信息,以使数据库连接连通。
在上述实施例中,配置模块11,还用于当确定每组第一配置信息和每组第二配置信息中分别包括的任意配置信息存在未完成配置时,确定未完成配置的目标配置信息,并对目标配置信息重新进行配置。
在上述实施例中,目标待测试数据报文得到模块12,具体用于根据所述数据库协议配置信息,确定数据库协议类型。
根据数据库协议类型、结构化查询语言配置信息以及速率配置信息,得到至少两个初始待测试数据报文。
针对每个初始待测试数据报文,根据待测试报文配置信息,得到目标待测试数据报文。
在上述实施例中,目标待测试数据报文得到模块12,具体还用于针对每个初始待测试数据报文,根据待测试报文配置信息,确定对初始待测试数据报文的应用层有效载荷是否存在修改操作。
当确定对初始待测试数据报文的应用层有效载荷不存在修改操作时,得到正常目标待测试数据报文。
在上述实施例中,目标待测试数据报文得到模块12,具体还用于当确定对初始待测试数据报文的应用层有效载荷存在修改操作时,得到异常目标待测试数据报文。
这样,本实施例通过配置模块用于配置被测数据库防火墙对应的至少一组第一配置信息,其中,每组第一配置信息包括:数据库协议配置信息、结构化查询语言配置信息、待测试报文配置信息以及速率配置信息。目标待测试数据报文得到模块用于根据每组第一配置信息,得到至少两个目标待测试数据报文,其中,目标待测试数据报文包括正常目标待测试数据报文,或异常目标待测试数据报文。测试模块用于根据至少两个目标待测试数据报文,对数据库防火墙进行测试操作,得到数据库防火墙的测试结果。这样通过配置一组或多组第一配置信息,能够根据每组第一配置信息自动的生成多个目标待测试数据报文,利用多个目标待测试数据报文实现对被测数据库防火墙的测试,避免现有技术中需要进行手动抓取正常数据报文,并进行计算后,人工的修改正常数据报文,从而提高了对数据库防火墙的测试效率。
图3是本公开实施例提供的一种电子设备的结构示意图,如图3所示,该电子设备包括处理器310、存储器320、输入装置330和输出装置340;计算机设备中处理器310的数量可以是一个或多个,图3中以一个处理器310为例;电子设备中的处理器310、存储器320、输入装置330和输出装置340可以通过总线或其他方式连接,图3中以通过总线连接为例。
存储器320作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中方法对应的程序指令/模块。处理器310通过运行存储在存储器320中的软件程序、指令以及模块,从而执行计算机设备的各种功能应用以及数据处理,即实现本发明实施例所提供的方法。
存储器320可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器320可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器320可进一步包括相对于处理器310远程设置的存储器,这些远程存储器可以通过网络连接至计算机设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置330可用于接收输入的数字或字符信息,以及产生与电子设备的用户设置以及功能控制有关的键信号输入,可以包括键盘、鼠标等。输出装置340可包括显示屏等显示设备。
本公开实施例还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于实现本发明实施例所提供的方法,方法包括:
配置被测数据库防火墙对应的至少一组第一配置信息,其中,每组第一配置信息包括:数据库协议配置信息、结构化查询语言配置信息、待测试报文配置信息以及速率配置信息。
根据每组第一配置信息,得到至少两个目标待测试数据报文,其中,目标待测试数据报文包括正常目标待测试数据报文,或异常目标待测试数据报文。
根据至少两个目标待测试数据报文,对被测数据库防火墙进行测试操作,以得到测试结果。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (9)
1.一种数据库防火墙测试方法,其特征在于,所述方法包括:
配置被测数据库防火墙对应的至少一组第一配置信息,其中,每组第一配置信息包括:数据库协议配置信息、结构化查询语言配置信息、待测试报文配置信息以及速率配置信息;
根据每组所述第一配置信息,得到至少两个目标待测试数据报文,其中,所述目标待测试数据报文包括正常目标待测试数据报文,或异常目标待测试数据报文;
根据至少两个所述目标待测试数据报文,对所述被测数据库防火墙进行测试操作,以得到测试结果;所述测试操作是对至少两个所述目标待测试数据报文进行解码,获取所述被测数据库防火墙状态的操作;
所述根据每组所述第一配置信息,得到至少两个目标待测试数据报文,包括:
根据所述数据库协议配置信息,确定数据库协议类型;
根据所述数据库协议类型、所述结构化查询语言配置信息以及所述速率配置信息,得到至少两个初始待测试数据报文;
针对每个所述初始待测试数据报文,根据所述待测试报文配置信息,得到所述目标待测试数据报文。
2.根据权利要求1所述的方法,其特征在于,所述根据每组所述第一配置信息,得到至少两个目标待测试数据报文之前,还包括:
配置被测数据库防火墙对应的至少一组第二配置信息,其中,每组第二配置信息包括客户端配置信息和服务端配置信息;
判断每组所述第一配置信息和每组所述第二配置信息中分别包括的任意配置信息是否均完成配置;
当确定每组所述第一配置信息和每组所述第二配置信息中分别包括的任意配置信息均完成配置时,根据所述客户端配置信息和所述服务端配置信息,判断模拟客户端与服务端的数据库连接是否连通;
当确定所述数据库连接连通时,执行所述根据每组所述第一配置信息,得到至少两个目标待测试数据报文。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
当确定所述数据库连接未连通时,向相关人员发送报错信息;
根据所述报错信息,重新配置所述客户端配置信息和所述服务端配置信息,以使所述数据库连接连通。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
当确定每组所述第一配置信息和每组所述第二配置信息中分别包括的任意配置信息存在未完成配置时,确定未完成配置的目标配置信息,并对所述目标配置信息重新进行配置。
5.根据权利要求1任一项所述的方法,其特征在于,针对每个所述初始待测试数据报文,根据所述待测试报文配置信息,得到所述目标待测试数据报文,包括:
针对每个所述初始待测试数据报文,根据所述待测试报文配置信息,确定对所述初始待测试数据报文的应用层有效载荷是否存在修改操作;
当确定对所述初始待测试数据报文的应用层有效载荷不存在修改操作时,得到正常目标待测试数据报文。
6.根据权利要求5任一项所述的方法,其特征在于,所述方法还包括:
当确定对所述初始待测试数据报文的应用层有效载荷存在修改操作时,得到异常目标待测试数据报文。
7.一种数据库防火墙测试装置,其特征在于,所述装置包括:
配置模块,用于配置被测数据库防火墙对应的至少一组第一配置信息,其中,每组第一配置信息包括:数据库协议配置信息、结构化查询语言配置信息、待测试报文配置信息以及速率配置信息;
目标待测试数据报文得到模块,用于根据每组所述第一配置信息,得到至少两个目标待测试数据报文,其中,所述目标待测试数据报文包括正常目标待测试数据报文,或异常目标待测试数据报文;
测试模块,用于根据至少两个所述目标待测试数据报文,对所述数据库防火墙进行测试操作,得到所述数据库防火墙的测试结果;所述测试操作是对至少两个所述目标待测试数据报文进行解码,获取所述被测数据库防火墙状态的操作;
所述目标待测试数据报文得到模块具体用于:根据所述数据库协议配置信息,确定数据库协议类型;根据所述数据库协议类型、所述结构化查询语言配置信息以及所述速率配置信息,得到至少两个初始待测试数据报文;针对每个所述初始待测试数据报文,根据所述待测试报文配置信息,得到所述目标待测试数据报文。
8.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1至6中任一项所述的数据库防火墙测试方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至6中任一项所述的数据库防火墙测试方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210837548.6A CN115225531B (zh) | 2022-07-15 | 2022-07-15 | 数据库防火墙测试方法、装置、电子设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210837548.6A CN115225531B (zh) | 2022-07-15 | 2022-07-15 | 数据库防火墙测试方法、装置、电子设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115225531A CN115225531A (zh) | 2022-10-21 |
| CN115225531B true CN115225531B (zh) | 2024-03-15 |
Family
ID=83611767
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210837548.6A Active CN115225531B (zh) | 2022-07-15 | 2022-07-15 | 数据库防火墙测试方法、装置、电子设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115225531B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116170235B (zh) * | 2023-04-24 | 2023-08-25 | 北京中安星云软件技术有限公司 | 一种数据库优化访问方法、系统、设备及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1489306A (zh) * | 2002-10-10 | 2004-04-14 | 华为技术有限公司 | 一种测试装置 |
| CN107995024A (zh) * | 2017-10-30 | 2018-05-04 | 北京奇虎科技有限公司 | 一种设备管理方法、装置、服务器及存储介质 |
| CN110266554A (zh) * | 2018-08-02 | 2019-09-20 | 青岛威孚测通信息科技有限公司 | 一种私有通信协议的测试方法 |
| CN110597706A (zh) * | 2019-08-02 | 2019-12-20 | 贝壳技术有限公司 | 一种用于应用程序接口数据异常测试的方法和装置 |
| CN113220572A (zh) * | 2021-05-11 | 2021-08-06 | 腾讯科技(深圳)有限公司 | 一种数据测试方法、装置及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005070835A (ja) * | 2003-08-25 | 2005-03-17 | Fujitsu Ltd | テスト支援プログラムおよびテスト支援方法 |
-
2022
- 2022-07-15 CN CN202210837548.6A patent/CN115225531B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1489306A (zh) * | 2002-10-10 | 2004-04-14 | 华为技术有限公司 | 一种测试装置 |
| CN107995024A (zh) * | 2017-10-30 | 2018-05-04 | 北京奇虎科技有限公司 | 一种设备管理方法、装置、服务器及存储介质 |
| CN110266554A (zh) * | 2018-08-02 | 2019-09-20 | 青岛威孚测通信息科技有限公司 | 一种私有通信协议的测试方法 |
| CN110597706A (zh) * | 2019-08-02 | 2019-12-20 | 贝壳技术有限公司 | 一种用于应用程序接口数据异常测试的方法和装置 |
| CN113220572A (zh) * | 2021-05-11 | 2021-08-06 | 腾讯科技(深圳)有限公司 | 一种数据测试方法、装置及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 周泽岩 ; 史宏 ; 张彦 ; .铁路客票安全系统联调联试技术的研究.铁路计算机应用.2015,(第02期),第55-58页. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115225531A (zh) | 2022-10-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12003534B2 (en) | Detecting and mitigating forged authentication attacks within a domain | |
| US11799900B2 (en) | Detecting and mitigating golden ticket attacks within a domain | |
| CN108664793B (zh) | 一种检测漏洞的方法和装置 | |
| CN108989355B (zh) | 一种漏洞检测方法和装置 | |
| CN110417778B (zh) | 访问请求的处理方法和装置 | |
| US20100325685A1 (en) | Security Integration System and Device | |
| CN112534432A (zh) | 不熟悉威胁场景的实时缓解 | |
| CN110995640B (zh) | 识别网络攻击的方法及蜜罐防护系统 | |
| WO2018216000A1 (en) | A system and method for on-premise cyber training | |
| JP6536285B2 (ja) | ソフトウェアのアタックサーフェイスの決定 | |
| CN111224991B (zh) | 网络安全应急响应方法及响应系统 | |
| CN110059007B (zh) | 系统漏洞扫描方法、装置、计算机设备及存储介质 | |
| CN111752770A (zh) | 服务请求的处理方法、系统、计算机设备和存储介质 | |
| CN115225531B (zh) | 数据库防火墙测试方法、装置、电子设备及介质 | |
| WO2021174870A1 (zh) | 网络安全风险检测方法、系统、计算机设备和存储介质 | |
| CN113987508A (zh) | 一种漏洞处理方法、装置、设备及介质 | |
| JP2012083909A (ja) | アプリケーション特性解析装置およびプログラム | |
| CN104219219A (zh) | 一种数据处理的方法、服务器及系统 | |
| CN116074029A (zh) | 风险预测信息确定方法、装置、电子设备及存储介质 | |
| JP6867552B2 (ja) | 判定方法、判定装置および判定プログラム | |
| KR20210076455A (ko) | Xss 공격 검증 자동화 방법 및 그 장치 | |
| CN114500123B (zh) | 网络情报分析方法及装置 | |
| CN113992447B (zh) | 一种sql注入告警处理方法及装置 | |
| CN117648262B (zh) | 模糊测试方法、存储介质和电子装置 | |
| AU2021102580A4 (en) | Autonomous Cyber Anomaly Management System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |