技術領域

本發明涉及一種Web系統健壯性測試方法，特別是涉及一種基于HTTP協議變異的Web系統健壯性測試方法。

背景技術

Web系統是當前最流行的網絡應用系統，在一個Web系統投入運行之前，需要對Web系統進行功能測試、性能測試、安全性測試以及健壯性測試等各種測試，通過這些測試活動，能夠及時發現和排除Web系統潛在的各種缺陷，使Web系統在功能、性能、安全性以及可用性等方面滿足實際應用需求。

健壯性測試（Robustness?Testing）技術用于測試一個系統在各種錯誤或異常條件下的健壯性和可用性。

一個Web系統通常由Web瀏覽器、Web服務器和HTTP協議等三部分組成，Web瀏覽器和Web服務器之間通過HTTP協議進行數據通信，通過HTTP數據包來交換信息。HTTP數據包分為HTTP請求包和HTTP應答包兩種，Web瀏覽器使用HTTP請求包向Web服務器發出服務請求，HTTP請求包由三個部分組成：請求行、消息報頭、請求正文；Web服務器使用HTTP應答包向Web瀏覽器返回應答信息，HTTP應答包也由三個部分組成：狀態行、消息報頭、響應正文。在HTTP請求包的每個部分中，由一個字段或多個字段組成，每個字段都定義了字段類型和取值范圍。

當HTTP請求包中的某個字段或字段值出現某種錯誤或異常時，Web服務器可能做出三種反應：一是Web服務器檢測到了錯誤或異常，則在返回的HTTP應答包中給出錯誤信息，指出HTTP請求包所包含的錯誤，說明Web服務器對這些錯誤具有良好的檢測和抵御能力，系統健壯性較好；二是Web服務器未檢測到錯誤或異常，則返回的是正常的HTTP應答包，但這些錯誤可能對Web服務器的正常運行帶來潛在的風險，系統健壯性較差；三是Web服務器沒有返回HTTP應答包，說明這些錯誤引起了Web服務器異常或死機，系統健壯性差。

利用Web系統的這種通信協議特性，人為地對HTTP請求包的字段類型和取值進行負面變異，生成異常HTTP數據包，發送給被測Web服務器，通過觀察被測Web服務器的響應狀態以及分析所返回的HTTP響應包協議狀態，檢驗Web服務器的健壯性。這就是基于HTTP協議變異的Web系統健壯性測試方法的基本思想。

變異測試是一種軟件測試技術，基本思想是首先定義一組變異算子，模擬程序中可能出現的錯誤，將變異算子作用于源程序，產生一組變異體，變異算子是對源程序語法的一個小的改變；然后輸入測試用例，在原始程序和變異體上分別執行測試，比較兩者的輸出結果，進而判斷軟件能否檢測到變異。如果兩者輸出相同，則證明軟件未能檢測出變異體，存在潛在的軟件缺陷或故障；否則說明軟件能夠檢測出該變異體及其所代表的故障。目前，變異測試主要用于軟件的單元測試中，未見公開的關于HTTP協議變異測試的文獻資料。

發明內容

為了解決Web系統健壯性測試的技術問題，本發明提供一種基于HTTP協議變異的Web系統健壯性測試方法。該方法通過對HTTP數據包的協議狀態、數據包結構、字段語義等方面的負面變異，生成異常HTTP數據包，發送給被測Web服務器，通過觀察被測Web服務器的響應狀態以及分析所返回的HTTP響應包協議狀態，檢驗Web服務器的健壯性，可以解決Web系統健壯性測試的技術問題。

本發明解決其技術問題所采用的技術方案是：一種基于HTTP協議變異的Web系統健壯性測試方法，其特點是采用以下步驟：

步驟一、HTTP協議變異方法；

(1)字段重復變異：對HTTP請求包中的一個或多個字段進行重復，變異為新的請求包；

(2)字段替換變異：進一步分為空字段替換、字段語義替換和隨機字符串替換；

①空字段替換：使用空字段替換HTTP請求包中的一個或多個字段進行變異；

②字段語義替換；使用不同含義的字段值替換字段語義進行變異；

③隨機字符串替換：首先確定一個完備的字符數組，其中包含所有想要用來替換的字符，然后隨機抽取若干字符進行組合，最后用組合的字符串替換HTTP請求包中的內容；

(3)字段溢出變異：對HTTP請求包進行極限擴充，看能否收到相應的應答消息，這里的極限值是指超過正常數據包的大小；