本發明實施例提供一種自動化安全測試方法、裝置、電子設備和可讀存儲介質，通過在配置文件中填寫待測信息、基于Controller層編寫腳本來實現安全測試，解除了安全測試對UI層的依賴，縮短了項目的測試周期。該方法包括：將所有待測單元的待測信息填寫在配置文件中，所述待測信息包括方法名和期望結果；基于Controller層編寫所述待測單元的腳本；初始化并運行測試框架以啟動所述腳本，獲取所述配置文件，執行配置文件中各方法名對應的測試方法以得到實際結果，將實際結果和期望結果進行比對，將比對結果寫到所述配置文件中。

技術領域

本發明涉及計算機技術領域，尤其涉及一種自動化安全測試方法、裝置、電子設備和可讀存儲介質。

背景技術

傳統的安全測試一般有三種方式，第一種是利用開源或商用的安全測試工具進行自動化的安全掃描；第二種是基于黑盒的安全測試方法，主要以手工的方式在頁面上輸入設計好的用例進行安全測試；第三種是利用靜態代碼掃描工具或者是靜態代碼走讀進行的靜態白盒測試。但是第一種測試方法誤報率太高，第二種測試方法耗時比較長，并且由于無法剝離對UI(User Interface，用戶界面)層的強依賴導致在進行安全測試過程中一旦UI層未開發完成或UI層不穩定導致安全測試無法進行。

現有技術方案實現安全測試的方式是：用戶通過在用戶頁面上對表單等輸入框進行填寫后提交給Controller等三層去進行業務處理，利用BurpSuite(是用于攻擊Web應用程序的集成平臺)等工具對請求進行攔截，篡改、重放的一系列滲透過程，或者是利用AWVS(Acunetix Web Vulnerability Scanner，是一款網絡漏洞掃描工具)等自動化掃描工具，對用戶頁面進行爬蟲后，進行自動化安全掃描。

在實現本發明過程中，發明人發現現有技術中至少存在如下問題：

(1)前端頁面還未開發完成的情況下無法進行正常的安全測試。

(2)前端頁面元素經常變化的情況下導致測試結果不穩定和自動化腳本維護成本增加。

(3)被測單元依賴的模塊尚未開發完成，或者依賴的模塊存在BUG的情況下無法進行測試。

發明內容

有鑒于此，本發明實施例提供一種自動化安全測試方法、裝置、電子設備和可讀存儲介質，能夠將傳統的白盒測試、安全測試和自動化測試的思想融合到一起，利用測試框架對Controller層進行白盒安全測試，并通過讀取配置文件中維護好的測試類、測試方法，已經設計好的入參來動態組織測試場景，通過此種方式，可以剝離在安全測試過程中對UI的依賴。

為實現上述目的，根據本發明的一個方面，提供了一種自動化安全測試方法。

本發明實施例的一種自動化安全測試方法，包括：將所有待測單元的待測信息填寫在配置文件中；所述待測信息包括方法名和期望結果；基于Controller層編寫所述待測單元的腳本；初始化并運行測試框架以啟動所述腳本，獲取所述配置文件，執行配置文件中各方法名對應的測試方法以得到實際結果，將實際結果和期望結果進行比對，將比對結果寫到所述配置文件中。

可選地，所述執行配置文件中各方法名對應的測試方法以得到實際結果包括：讀取當前場景下所述配置文件中的待測信息，將所述待測信息依次進行組裝、匹配及初始化后，將初始化后的待測信息放入字典中；執行字典中各方法名對應的測試方法以得到實際結果。

可選地，將所述待測信息依次進行組裝、匹配及初始化包括：組裝測試用例：對當前場景下配置文件中的類名和方法名進行去重，并對去重后的屬于同一類名的多個方法名進行組裝；對組裝后的方法名進行排序分類；所述待測信息還包括場景名、類名和用于測試方法的入參；組裝入參：對入參進行組裝；匹配及初始化：對組裝后的測試用例與組裝后的入參進行匹配，所有需要執行的測試用例與入參匹配結束后，通過動態的反射技術將需要測試的類和入參轉化成對象后，將該入參反序列化為對象。