CN118093383A - 一种软件接口的越权漏洞测试方法、装置和电子设备 - Google Patents
一种软件接口的越权漏洞测试方法、装置和电子设备 Download PDFInfo
- Publication number
- CN118093383A CN118093383A CN202410150371.1A CN202410150371A CN118093383A CN 118093383 A CN118093383 A CN 118093383A CN 202410150371 A CN202410150371 A CN 202410150371A CN 118093383 A CN118093383 A CN 118093383A
- Authority
- CN
- China
- Prior art keywords
- software interface
- test
- target
- tested
- regular expression
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012360 testing method Methods 0.000 title claims abstract description 160
- 238000000034 method Methods 0.000 title claims abstract description 44
- 230000014509 gene expression Effects 0.000 claims abstract description 79
- 230000004044 response Effects 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 description 14
- 238000010586 diagram Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 235000014510 cooky Nutrition 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000006872 improvement Effects 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 239000003607 modifier Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本申请实施例提供一种软件接口的越权漏洞测试方法、装置和电子设备。其中,软件接口的越权漏洞测试方法包括:响应于待测试软件接口与已建立的目标正则表达式匹配,根据待测试软件接口,生成与目标正则表达式关联的多个测试用例;其中,目标正则表达式用于表示存在越权漏洞的概率大于预设阈值的软件接口;利用多个测试用例,对待测试软件接口进行越权漏洞测试;根据越权漏洞测试的结果,确定待测试软件接口是否存在越权漏洞。
Description
技术领域
本申请涉及计算机技术领域,特别涉及一种软件接口的越权漏洞测试方法、装置和电子设备。
背景技术
在软件开发过程中,软件接口存在越权漏洞是一个常见的问题,因此需要对软件接口进行越权漏洞测试,以保障用户在使用软件过程中的信息安全性。
相关技术中,软件测试人员可以通过以下方式进行越权漏洞测试:根据接口文档分析出存在潜在越权漏洞的接口;使用漏洞扫描工具拦截这些接口的请求;修改被拦截的请求的URL或请求体中的参数,使用工具进行单个接口请求验证;根据接口对于修改后的请求的响应结果,判断被测试的接口是否存在越权漏洞。上述方法中,在人工分析接口的潜在越权漏洞时,在测试人员的主观经验不足的情况下,容易导致越权漏洞的遗漏或者误判。并且,由于需要对每个接口进行抓包、修改参数,且修复后又要进行新一轮验证,需要耗费大量的人力资源,测试效率较低。
因此,如何准确、高效地进行软件接口的越权漏洞测试,是亟待解决的技术问题。
发明内容
本申请实施例提供了一种软件接口的越权漏洞测试方法、装置和电子设备,用于准确、高效地进行软件接口的越权漏洞测试。
本申请实施例之一提供一种软件接口的越权漏洞测试方法,所述方法包括:响应于待测试软件接口与已建立的目标正则表达式匹配,根据所述待测试软件接口,生成与所述目标正则表达式关联的多个测试用例;其中,所述目标正则表达式用于表示存在越权漏洞的概率大于预设阈值的软件接口;利用所述多个测试用例,对所述待测试软件接口进行越权漏洞测试;根据越权漏洞测试的结果,确定所述待测试软件接口是否存在越权漏洞。
在一些实施例中,所述方法还包括:响应于接收到携带接口标识信息的所述待测试软件接口的越权漏洞测试请求,确定所述接口标识信息是否包含所述目标正则表达式中的关键词;在所述接口标识信息包含所述目标正则表达式中的关键词的情况下,确定所述待测试软件接口与所述目标正则表达式匹配。
在一些实施例中,利用以下方式建立所述目标正则表达式:将包含目标参数的软件接口,作为目标软件接口;其中,所述目标软件接口为存在越权漏洞的概率大于预设阈值的软件接口,所述目标参数为软件接口的接口标识信息中包含的、攻击者可以利用其对该软件接口进行攻击的参数;使用正则表达式表示所述目标参数,得到所述目标正则表达式。
在一些实施例中,所述根据所述待测试软件接口,生成与所述目标正则表达式关联的多个测试用例,包括:生成所述目标软件接口的访问请求;逐次对所述访问请求中使用目标正则表达式表示的目标参数的数值进行修改,生成多个测试用例。
在一些实施例中,所述利用所述多个测试用例,对所述待测试软件接口进行越权漏洞测试,包括:使用所述多个测试用例中的每一个测试用例,访问所述待测试软件接口,获取所述待测试软件接口针对所述每一个测试用例的测试访问结果,作为所述越权漏洞测试的结果;所述根据所述越权漏洞测试的结果,确定所述待测试软件接口是否存在越权漏洞,包括:响应于所述多个测试用例中的任一测试用例的测试访问结果和该测试用例的预设的预期访问结果不同,确定所述待测试软件接口存在越权漏洞;或者响应于所述多个测试用例中每一个测试用例的测试访问结果和该测试用例的预设的预期访问结果均相同,确定所述待测试软件接口不存在越权漏洞。
本申请实施例之一提供一种软件接口的越权漏洞测试装置,所述装置包括:生成模块,用于响应于待测试软件接口与已建立的目标正则表达式匹配,根据所述待测试软件接口,生成与所述目标正则表达式关联的多个测试用例;其中,所述目标正则表达式用于表示存在越权漏洞的概率大于预设阈值的软件接口;测试模块,用于利用所述多个测试用例,对所述待测试软件接口进行越权漏洞测试;确定模块,用于根据越权漏洞测试的结果,确定所述待测试软件接口是否存在越权漏洞。
本申请实施例提供一种电子设备,所述电子设备包括存储器和处理器,存储器存储计算机程序,处理器运行程序时执行如上所述的方法。
本申请实施例提供一种存储介质,用于存储计算机可读程序,所述计算机可读程序被运行时,执行如上所述的方法。
本申请实施例提供的上述技术方案与现有技术相比至少具有如下优点:
本申请提供的实施例中,响应于待测试软件接口与已建立的目标正则表达式匹配,根据待测试软件接口,生成与目标正则表达式关联的多个测试用例;其中,目标正则表达式用于表示存在越权漏洞的概率大于预设阈值的软件接口;利用多个测试用例,对待测试软件接口进行越权漏洞测试;根据越权漏洞测试的结果,确定待测试软件接口是否存在越权漏洞。从而可以准确、高效地进行软件接口的越权漏洞测试。
附图说明
本申请将以示例性实施例的方式进一步说明,这些示例性实施例将通过附图进行详细描述。这些实施例并非限制性的,在这些实施例中,相同的编号表示相同的结构,其中:
图1是根据本申请一些实施例所示的软件接口的越权漏洞测试方法的示例性流程图;
图2是根据本申请一些实施例所示的软件接口的越权漏洞测试的流程的示例性示意图;
图3是根据本申请一些实施例所示的软件接口的越权漏洞测试装置的示例性示意图;
图4是根据本申请一些实施例所示的一种电子设备的示例性结构示意图。
具体实施方式
为了更清楚地说明本申请实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单的介绍。显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其它类似情景。除非从语言环境中显而易见或另做说明,图中相同标号代表相同结构或操作。
应当理解,本文使用的“***”、“装置”、“单元”和/或“模块”是用于区分不同级别的不同组件、元件、部件、部分或装配的一种方法。然而,如果其他词语可实现相同的目的,则可通过其他表达来替换词语。
如本申请和权利要求书中所示,除非上下文明确提示例外情形,“一”、“一个”、“一种”和/或“该”等词并非特指单数,也可包括复数。一般说来,术语“包括”与“包含”仅提示包括已明确标识的步骤和元素,而这些步骤和元素不构成一个排它性的罗列,方法或者设备也可能包含其它的步骤或元素。
本申请中使用了流程图用来说明根据本申请的实施例的***所执行的操作。应当理解的是,前面或后面操作不一定按照顺序来精确地执行。相反,可以按照倒序或同时处理各个步骤。同时,也可以将其他操作添加到这些过程中,或从这些过程移除某一步或数步操作。
为了便于理解,以下结合附图和实施例介绍本申请的技术方案。
图1是根据本申请一些实施例所示的软件接口的越权漏洞测试方法的示例性流程图。如图1所示,软件接口的越权漏洞测试方法包括以下步骤:
步骤S110,响应于待测试软件接口与已建立的目标正则表达式匹配,根据待测试软件接口,生成与目标正则表达式关联的多个测试用例。
待测试软件接口为需要对其进行越权漏洞测试的软件接口。
在一些实施例中,可以利用本申请实施例,针对多个应用程序的待测试软件接口循环进行越权漏洞测试。
在一些实施例中,对于某一个应用程序或平台的软件接口,可以在执行业务逻辑测试之前,进行越权漏洞测试。仅作为示例,如图2所示,针对某一个应用程序或平台的任一软件接口,在其与已建立的目标正则表达式匹配的情况下,利用本申请实施例,进行越权漏洞测试;越权漏洞测试完成,或者在其与已建立的目标正则表达式不匹配的情况下,执行业务逻辑测试。
目标正则表达式用于表示存在越权漏洞的概率大于预设阈值的软件接口。
在具体实施过程中,可以将包含目标参数的软件接口,作为目标软件接口;使用正则表达式表示目标参数,得到目标正则表达式。
目标软件接口为根据经验或测试结果,判判其存在越权漏洞的概率大于预设阈值的软件接口。
目标参数为软件接口中包含的、攻击者可以利用其对软件接口进行攻击的参数。在一些实施例中,目标参数可以为公开的、且未受保护的参数。
仅作为示例,对于以下接口:/service/voucher/file/voufile/download?fileId=0&type=VOUCHER_DETAIL&stage=VOUCHER&voucherId=225&businessType=VOUCHER&access_token=c4c3ca20-afe2-4926-8c77-8dc829710d63,由于接口路径(URL)中存在voucherId和fileId两个公开的、且未受保护参数,可能存在越权漏洞,因此可以将该软件接口作为目标软件接口。对于该目标软件接口,可以使用正则表达式表示如下:Stringregex="[?&]*[iI]d=(\\d+)",得到目标正则表达式。利用该目标正则表达式,通过本步骤,可以将URL中包含“id”或“Id”,且参数值为数字的待测试软件接口,确定为越权漏洞的概率大于预设阈值的软件接口,对其进行越权漏洞测试。
在具体实施过程中,对于接收到的携带接口标识信息的待测试软件接口的越权漏洞测试请求,确定接口标识信息是否包含目标正则表达式中的关键词;在接口标识信息包含目标正则表达式中的关键词的情况下,确定待测试软件接口与目标正则表达式匹配。
接口标识信息可以包括接口名称、接口路径、请求方法(GET、POST、PUT、DELETE等)和请求参数等信息。
在具体实施过程中,可以判断“接口路径”中,是否包含目标正则表达式中的关键词,在“接口路径”中包含目标正则表达式中的关键词的情况下,确定待测试软件接口与目标正则表达式匹配;在“接口路径”中不包含目标正则表达式中的关键词的情况下,确定待测试软件接口与目标正则表达式不匹配。
在具体实施过程中,可以利用编程语言提供的用于字符串匹配的函数来判断接口标识信息中,是否包含目标正则表达式中的关键词。仅作为示例,可以利用Java提供的如下函数匹配URL中是否包含Id的参数:
Pattern pattern=Pattern.compile(regex);
Matcher matcher=pattern.matcher(url)。
在具体实施过程中,可以生成目标软件接口的访问请求,逐次对访问请求中使用目标正则表达式表示的目标参数的数值进行修改,生成多个测试用例。
仅作为示例,在上述示例中,判定URL中包含Id的参数后,获取URL中的所有参数,采用循环的方式,多次修改URL中的目标参数的数值,生成多个测试用例。上述生成测试用例的代码如下:
在具体实施过程中,还可以通过其他方式确定目标软件接口和目标参数,不受本说明书的表述所限。
在一些实施例中,多个测试用例包括水平越权的测试用例和垂直越权测试用例。越权访问(Broken Access Control),指用户在不具备相应权限(或者说业务逻辑上不应该具备相应权限)的情况下访问了受限制的资源或执行了不允许的操作。水平越权为如下情况的越权访问:攻击者尝试访问与他拥有相同权限的用户的资源。垂直越权为如下情况的越权访问:一个低级别攻击者尝试访问高级别用户的资源。
仅作为示例,可以将请求参数中含有id,请求头携带cookie或token的软件接口作为目标软件接口,将请求头携带的cookie或token作为目标参数。在该实施例中,可以通过以下方式生成多个测试用例:生成目标软件接口的访问请求;利用以下方式对访问请求进行修改,生成多个测试用例:逐次修改访问请求的cookie和/或token,生成多个水平越权的测试用例,以进行水平越权测试。
仅作为示例,可以将从服务器上下载文件或其他需要权限的访问的软件接口作为目标软件接口,将URL或请求体中的入参作为目标参数。在该实施例中,可以通过以下方式生成多个测试用例:生成目标软件接口的访问请求;利用以下方式对访问请求进行修改,生成多个测试用例:逐次修改访问请求的URL或请求体中的入参,生成多个垂直越权测试用例,以进行垂直越权测试。
步骤S120,利用多个测试用例,对待测试软件接口进行越权漏洞测试。
在具体实施过程中,可以使用多个测试用例中的每一个测试用例,访问待测试软件接口,获取待测试软件接口针对每一个测试用例的测试访问结果,作为越权漏洞测试的结果。
步骤S130,根据越权漏洞测试的结果,确定待测试软件接口是否存在越权漏洞。
在具体实施过程中,在多个测试用例中的任一测试用例的测试访问结果和该测试用例的预设的预期访问结果不同的情况下,确定待测试软件接口存在越权漏洞;或者
在多个测试用例中每一个测试用例的测试访问结果和该测试用例的预设的预期访问结果均相同的情况下,确定待测试软件接口不存在越权漏洞。
在具体实施过程中,对于通过修改目标参数得到的测试用例,其预期访问结果为:返回无权限异常或返回空数据。
在具体实施过程中,对于经过上述测试,不存在越权漏洞的软件接口,可以对其继续执行其他测试(例如,业务逻辑的测试)等;对于经过上述测试,证明存在越权漏洞的软件接口,可以将其返回给软件开发人员进行漏洞修复,以及,根据该软件接口进一步补充完善目标正则表达式,使目标正则表达式可以更加准确、全面的反映存在越权漏洞可能性的软件接口。
本申请提供的实施例中,在待测试软件接口与已建立的目标正则表达式匹配的情况下,根据待测试软件接口,生成与目标正则表达式关联的多个测试用例,利用多个测试用例,对待测试软件接口进行越权漏洞测试;根据越权漏洞测试的结果,确定待测试软件接口是否存在越权漏洞。由于利用目标正则表达式固化了软件接口是否存在越权漏洞可能性的判断依据,避免了相关技术中,测试人员的主观经验对软件接口是否存在越权漏洞可能性的判断结果的影响;以及,利用目标正则表达式,可以实现自动对多个待测试软件接口进行是否存在越权漏洞可能性的判断,解决了相关技术中需要逐个接口手动执行越权漏洞的问题,有效提高了测试效率,节约了人力成本。
图3是根据本申请一些实施例所示的软件接口的越权漏洞测试装置的示例性示意图。
如图3所示,软件接口的越权漏洞测试装置包括:生成模块310、测试模块320以及确定模块330。
生成模块310,用于响应于待测试软件接口与已建立的目标正则表达式匹配,根据所述待测试软件接口,生成与所述目标正则表达式关联的多个测试用例;其中,所述目标正则表达式用于表示存在越权漏洞的概率大于预设阈值的软件接口。
测试模块320,用于利用所述多个测试用例,对所述待测试软件接口进行越权漏洞测试。
确定模块330,用于根据越权漏洞测试的结果,确定所述待测试软件接口是否存在越权漏洞。
在一些实施例中,所述装置还包括:匹配模块,用于响应于接收到携带接口标识信息的所述待测试软件接口的越权漏洞测试请求,确定所述接口标识信息是否包含所述目标正则表达式中的关键词;以及在所述接口标识信息包含所述目标正则表达式中的关键词的情况下,确定所述待测试软件接口与所述目标正则表达式匹配。
在一些实施例中,利用以下方式建立所述目标正则表达式:将包含目标参数的软件接口,作为目标软件接口;其中,所述目标软件接口为存在越权漏洞的概率大于预设阈值的软件接口,所述目标参数为软件接口的接口标识信息中包含的、攻击者可以利用其对该软件接口进行攻击的参数;使用正则表达式表示所述目标参数,得到所述目标正则表达式。
在一些实施例中,所述根据所述待测试软件接口,生成与所述目标正则表达式关联的多个测试用例,包括:生成所述目标软件接口的访问请求;逐次对所述访问请求中使用目标正则表达式表示的目标参数的数值进行修改,生成多个测试用例。
在一些实施例中,所述利用所述多个测试用例,对所述待测试软件接口进行越权漏洞测试,包括:使用所述多个测试用例中的每一个测试用例,访问所述待测试软件接口,获取所述待测试软件接口针对所述每一个测试用例的测试访问结果,作为所述越权漏洞测试的结果;所述根据所述越权漏洞测试的结果,确定所述待测试软件接口是否存在越权漏洞,包括:响应于所述多个测试用例中的任一测试用例的测试访问结果和该测试用例的预设的预期访问结果不同,确定所述待测试软件接口存在越权漏洞;或者响应于所述多个测试用例中每一个测试用例的测试访问结果和该测试用例的预设的预期访问结果均相同,确定所述待测试软件接口不存在越权漏洞。
上述软件接口的越权漏洞测试装置的实施例中,各模块的具体处理及其带来的技术效果可分别参考对应方法实施例中的相关说明,在此不再赘述。
图4是根据本申请一些实施例所示的一种电子设备的示例性结构示意图。
如图4所示,该电子设备,包括:至少一个处理器401,至少一个通信接口402,至少一个存储器403和至少一个通信总线404;可选的,通信接口402可以为通信模块的接口,如GSM模块的接口;处理器401可能是处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。存储器403可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。其中,存储器403存储有程序,处理器401调用存储器403所存储的程序,以执行上述的部分或全部方法实施例。
本申请涉及一种存储介质,用于存储计算机可读程序,所述计算机可读程序被运行时,执行上述的部分或全部的方法实施例。
可选地,存储介质可以是非临时性计算机可读存储介质,例如,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
基于同一发明构思,本申请实施例还提供了一种计算机程序产品,包括计算机程序,所述程序被处理器执行时实现上述的部分或全部的方法实施例。
上文已对基本概念做了描述,显然,对于本领域技术人员来说,上述详细披露仅仅作为示例,而并不构成对本申请的限定。虽然此处并没有明确说明,本领域技术人员可能会对本申请进行各种修改、改进和修正。该类修改、改进和修正在本申请中被建议,所以该类修改、改进、修正仍属于本申请示范实施例的精神和范围。
同时,本申请使用了特定词语来描述本申请的实施例。如“一个实施例”、“一实施例”、和/或“一些实施例”意指与本申请至少一个实施例相关的某一特征、结构或特点。因此,应强调并注意的是,本申请中在不同位置两次或多次提及的“一实施例”或“一个实施例”或“一个替代性实施例”并不一定是指同一实施例。此外,本申请的一个或多个实施例中的某些特征、结构或特点可以进行适当的组合。
此外,除非权利要求中明确说明,本申请所述处理元素和序列的顺序、数字字母的使用、或其他名称的使用,并非用于限定本申请流程和方法的顺序。尽管上述披露中通过各种示例讨论了一些目前认为有用的发明实施例,但应当理解的是,该类细节仅起到说明的目的,附加的权利要求并不仅限于披露的实施例,相反,权利要求旨在覆盖所有符合本申请实施例实质和范围的修正和等价组合。例如,虽然以上所描述的***组件可以通过硬件设备实现,但是也可以只通过软件的解决方案得以实现,如在现有的服务器或移动设备上安装所描述的***。
同理,应当注意的是,为了简化本申请披露的表述,从而帮助对一个或多个发明实施例的理解,前文对本申请实施例的描述中,有时会将多种特征归并至一个实施例、附图或对其的描述中。但是,这种披露方法并不意味着本申请对象所需要的特征比权利要求中提及的特征多。实际上,实施例的特征要少于上述披露的单个实施例的全部特征。
一些实施例中使用了描述成分、属性数量的数字,应当理解的是,此类用于实施例描述的数字,在一些示例中使用了修饰词“大约”、“近似”或“大体上”来修饰。除非另外说明,“大约”、“近似”或“大体上”表明所述数字允许有±20%的变化。相应地,在一些实施例中,说明书和权利要求中使用的数值参数均为近似值,该近似值根据个别实施例所需特点可以发生改变。在一些实施例中,数值参数应考虑规定的有效数位并采用一般位数保留的方法。尽管本申请一些实施例中用于确认其范围广度的数值域和参数为近似值,在具体实施例中,此类数值的设定在可行范围内尽可能精确。
针对本申请引用的每个专利、专利申请、专利申请公开物和其他材料,如文章、书籍、说明书、出版物、文档等,特此将其全部内容并入本申请作为参考。与本申请内容不一致或产生冲突的申请历史文件除外,对本申请权利要求最广范围有限制的文件(当前或之后附加于本申请中的)也除外。需要说明的是,如果本申请附属材料中的描述、定义、和/或术语的使用与本申请所述内容有不一致或冲突的地方,以本申请的描述、定义和/或术语的使用为准。
最后,应当理解的是,本申请中所述实施例仅用以说明本申请实施例的原则。其他的变形也可能属于本申请的范围。因此,作为示例而非限制,本申请实施例的替代配置可视为与本申请的教导一致。相应地,本申请的实施例不仅限于本申请明确介绍和描述的实施例。
Claims (10)
1.一种软件接口的越权漏洞测试方法,其特征在于,所述方法包括:
响应于待测试软件接口与已建立的目标正则表达式匹配,根据所述待测试软件接口,生成与所述目标正则表达式关联的多个测试用例;其中,所述目标正则表达式用于表示存在越权漏洞的概率大于预设阈值的软件接口;
利用所述多个测试用例,对所述待测试软件接口进行越权漏洞测试;
根据越权漏洞测试的结果,确定所述待测试软件接口是否存在越权漏洞。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于接收到携带接口标识信息的所述待测试软件接口的越权漏洞测试请求,确定所述接口标识信息是否包含所述目标正则表达式中的关键词;
在所述接口标识信息包含所述目标正则表达式中的关键词的情况下,确定所述待测试软件接口与所述目标正则表达式匹配。
3.根据权利要求2所述的方法,其特征在于,利用以下方式建立所述目标正则表达式:
将包含目标参数的软件接口,作为目标软件接口;其中,所述目标软件接口为存在越权漏洞的概率大于预设阈值的软件接口,所述目标参数为软件接口的接口标识信息中包含的、攻击者可以利用其对该软件接口进行攻击的参数;
使用正则表达式表示所述目标参数,得到所述目标正则表达式。
4.根据权利要求3所述的方法,其特征在于,所述根据所述待测试软件接口,生成与所述目标正则表达式关联的多个测试用例,包括:
生成所述目标软件接口的访问请求;
逐次对所述访问请求中使用目标正则表达式表示的目标参数的数值进行修改,生成多个测试用例。
5.根据权利要求4所述的方法,其特征在于,所述利用所述多个测试用例,对所述待测试软件接口进行越权漏洞测试,包括:
使用所述多个测试用例中的每一个测试用例,访问所述待测试软件接口,获取所述待测试软件接口针对所述每一个测试用例的测试访问结果,作为所述越权漏洞测试的结果;
所述根据所述越权漏洞测试的结果,确定所述待测试软件接口是否存在越权漏洞,包括:
响应于所述多个测试用例中的任一测试用例的测试访问结果和该测试用例的预设的预期访问结果不同,确定所述待测试软件接口存在越权漏洞;或者
响应于所述多个测试用例中每一个测试用例的测试访问结果和该测试用例的预设的预期访问结果均相同,确定所述待测试软件接口不存在越权漏洞。
6.一种软件接口的越权漏洞测试装置,其特征在于,包括:
生成模块,用于响应于待测试软件接口与已建立的目标正则表达式匹配,根据所述待测试软件接口,生成与所述目标正则表达式关联的多个测试用例;其中,所述目标正则表达式用于表示存在越权漏洞的概率大于预设阈值的软件接口;
测试模块,用于利用所述多个测试用例,对所述待测试软件接口进行越权漏洞测试;
确定模块,用于根据越权漏洞测试的结果,确定所述待测试软件接口是否存在越权漏洞。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
匹配模块,用于响应于接收到携带接口标识信息的所述待测试软件接口的越权漏洞测试请求,确定所述接口标识信息是否包含所述目标正则表达式中的关键词;以及
在所述接口标识信息包含所述目标正则表达式中的关键词的情况下,确定所述待测试软件接口与所述目标正则表达式匹配。
8.根据权利要求7所述的装置,其特征在于,利用以下方式建立所述目标正则表达式:
将包含目标参数的软件接口,作为目标软件接口;其中,所述目标软件接口为存在越权漏洞的概率大于预设阈值的软件接口,所述目标参数为软件接口的接口标识信息中包含的、攻击者可以利用其对该软件接口进行攻击的参数;
使用正则表达式表示所述目标参数,得到所述目标正则表达式。
9.一种电子设备,所述电子设备包括存储器和处理器,存储器存储计算机程序,处理器运行程序时执行如权利要求1至5中任一项所述的方法。
10.一种存储介质,用于存储计算机可读程序,所述计算机可读程序被运行时,执行如权利要求1至5中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410150371.1A CN118093383A (zh) | 2024-02-02 | 2024-02-02 | 一种软件接口的越权漏洞测试方法、装置和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410150371.1A CN118093383A (zh) | 2024-02-02 | 2024-02-02 | 一种软件接口的越权漏洞测试方法、装置和电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118093383A true CN118093383A (zh) | 2024-05-28 |
Family
ID=91141405
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410150371.1A Pending CN118093383A (zh) | 2024-02-02 | 2024-02-02 | 一种软件接口的越权漏洞测试方法、装置和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN118093383A (zh) |
-
2024
- 2024-02-02 CN CN202410150371.1A patent/CN118093383A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112003870B (zh) | 一种基于深度学习的网络加密流量识别方法及装置 | |
| CN111460446B (zh) | 基于模型的恶意文件检测方法及装置 | |
| KR101143999B1 (ko) | Api 기반 어플리케이션 분석 장치 및 방법 | |
| CN114553523A (zh) | 基于攻击检测模型的攻击检测方法及装置、介质、设备 | |
| CN109376534B (zh) | 用于检测应用的方法和装置 | |
| CN110929264A (zh) | 漏洞检测方法、装置、电子设备及可读存储介质 | |
| US20230418943A1 (en) | Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same | |
| CN110011964B (zh) | 一种网页环境检测方法和装置 | |
| CN112231696A (zh) | 恶意样本的识别方法、装置、计算设备以及介质 | |
| CN116305120A (zh) | 一种双重验证的安卓恶意软件混合检测***及方法 | |
| CN118093383A (zh) | 一种软件接口的越权漏洞测试方法、装置和电子设备 | |
| CN115688107A (zh) | 一种涉诈app检测***和方法 | |
| CN111159714B (zh) | 一种访问控制中主体运行时可信验证方法及*** | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN117056918A (zh) | 一种代码分析方法及相关设备 | |
| CN114513329A (zh) | 一种工业互联网信息安全评估方法及装置 | |
| CN111026631B (zh) | 接口自动化检测方法、装置和服务器 | |
| CN110928754A (zh) | 运维审计方法、装置、设备及介质 | |
| CN115809466B (zh) | 基于stride模型的安全需求生成方法、装置、电子设备及介质 | |
| CN109214212A (zh) | 信息防泄露方法及装置 | |
| EP3739484B1 (en) | Method and system for detection of post compilation modification of binary images | |
| CN111428251B (zh) | 数据处理方法和装置 | |
| CN114598509B (zh) | 一种确定脆弱性结果的方法及装置 | |
| CN112380530B (zh) | 一种同源apk检测方法、终端设备及存储介质 | |
| CN111143833B (zh) | 一种非法应用程序类别识别方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |