本申請(qǐng)涉及一種安全測(cè)試方法、系統(tǒng)、計(jì)算機(jī)設(shè)備和存儲(chǔ)介質(zhì)。所述方法包括：接收當(dāng)前網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，所述當(dāng)前網(wǎng)絡(luò)訪問(wèn)請(qǐng)求攜帶有統(tǒng)一資源定位符以及訪問(wèn)參數(shù)；根據(jù)所述統(tǒng)一資源定位符獲取所述當(dāng)前網(wǎng)絡(luò)訪問(wèn)請(qǐng)求對(duì)應(yīng)的當(dāng)前代碼；在所述當(dāng)前代碼中插入探針函數(shù)；在根據(jù)所述訪問(wèn)參數(shù)執(zhí)行所述當(dāng)前代碼的過(guò)程中，通過(guò)所述探針函數(shù)記錄所述當(dāng)前代碼中代碼語(yǔ)句的執(zhí)行順序，得到所述當(dāng)前代碼的執(zhí)行路徑；檢測(cè)所述當(dāng)前代碼的執(zhí)行路徑與預(yù)設(shè)路徑是否一致；若所述執(zhí)行路徑與預(yù)設(shè)路徑不一致，確定所述當(dāng)前代碼存在安全漏洞。采用本方法能夠安全檢測(cè)效率。

技術(shù)領(lǐng)域

本申請(qǐng)涉及安全技術(shù)領(lǐng)域，特別是涉及一種安全測(cè)試方法、裝置、計(jì)算機(jī)設(shè)備和存儲(chǔ)介質(zhì)。

背景技術(shù)

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展以及網(wǎng)絡(luò)信息的增長(zhǎng)，越來(lái)越多的企業(yè)或者個(gè)人通過(guò)互聯(lián)網(wǎng)提供信息服務(wù)。然而，在提供信息服務(wù)時(shí)，應(yīng)用軟件或操作系統(tǒng)設(shè)計(jì)時(shí)的缺陷或編碼時(shí)產(chǎn)生的錯(cuò)誤，或者在業(yè)務(wù)交互處理過(guò)程中的設(shè)計(jì)缺陷或邏輯流程上的不合理之處都會(huì)形成漏洞。為了避免漏洞被有意或無(wú)意地利用，從而造成損失，需要對(duì)進(jìn)行漏洞檢測(cè)。目前在檢測(cè)漏洞時(shí)，通常需要了解代碼的內(nèi)部結(jié)構(gòu)后再對(duì)代碼進(jìn)行安全測(cè)試，然而代碼的數(shù)據(jù)量大，了解代碼結(jié)構(gòu)需要花費(fèi)大量的時(shí)間，導(dǎo)致進(jìn)行安全檢測(cè)的效率低。

發(fā)明內(nèi)容

基于此，有必要針對(duì)上述技術(shù)問(wèn)題，提供一種能提高安全檢測(cè)效率的安全測(cè)試方法、裝置、計(jì)算機(jī)設(shè)備和存儲(chǔ)介質(zhì)。

一種安全測(cè)試方法，所述方法包括：接收當(dāng)前網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，所述當(dāng)前網(wǎng)絡(luò)訪問(wèn)請(qǐng)求攜帶有統(tǒng)一資源定位符以及訪問(wèn)參數(shù)；根據(jù)所述統(tǒng)一資源定位符獲取所述當(dāng)前網(wǎng)絡(luò)訪問(wèn)請(qǐng)求對(duì)應(yīng)的當(dāng)前代碼；在所述當(dāng)前代碼中插入探針函數(shù)；在根據(jù)所述訪問(wèn)參數(shù)執(zhí)行所述當(dāng)前代碼的過(guò)程中，通過(guò)所述探針函數(shù)記錄所述當(dāng)前代碼中代碼語(yǔ)句的執(zhí)行順序，得到所述當(dāng)前代碼的執(zhí)行路徑；檢測(cè)所述當(dāng)前代碼的執(zhí)行路徑與預(yù)設(shè)路徑是否一致；若所述執(zhí)行路徑與預(yù)設(shè)路徑不一致，確定所述當(dāng)前代碼存在安全漏洞。

在一個(gè)實(shí)施例中，所述方法還包括：獲取所述當(dāng)前網(wǎng)絡(luò)訪問(wèn)請(qǐng)求對(duì)應(yīng)的當(dāng)前網(wǎng)絡(luò)頁(yè)面；將所述訪問(wèn)參數(shù)與所述當(dāng)前網(wǎng)絡(luò)頁(yè)面上預(yù)設(shè)的選項(xiàng)參數(shù)進(jìn)行對(duì)比，確定所述選項(xiàng)參數(shù)與所述訪問(wèn)參數(shù)的包含關(guān)系；所述在所述當(dāng)前代碼中插入探針函數(shù)的步驟包括：若檢測(cè)到所述選項(xiàng)參數(shù)不包括所述訪問(wèn)參數(shù)，在所述當(dāng)前代碼中插入探針函數(shù)。

在一個(gè)實(shí)施例中，所述方法還包括：獲取所述當(dāng)前代碼對(duì)應(yīng)的多個(gè)歷史網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的歷史執(zhí)行路徑；計(jì)算所述各個(gè)歷史執(zhí)行路徑的分布比例，將超過(guò)預(yù)設(shè)分布比例的歷史執(zhí)行路徑作為所述預(yù)設(shè)路徑。

在一個(gè)實(shí)施例中，所述方法還包括：獲取所述當(dāng)前代碼的代碼特征，所述代碼特征包括所述當(dāng)前代碼對(duì)應(yīng)的變量約束條件；根據(jù)所述變量約束條件構(gòu)造測(cè)試參數(shù)；根據(jù)所述測(cè)試參數(shù)執(zhí)行所述當(dāng)前代碼，得到代碼運(yùn)行數(shù)據(jù)；根據(jù)所述代碼運(yùn)行數(shù)據(jù)確定所述當(dāng)前代碼對(duì)應(yīng)的漏洞檢測(cè)結(jié)果。

在一個(gè)實(shí)施例中，所述代碼特征還包括所述當(dāng)前代碼對(duì)應(yīng)的功能控件，所述根據(jù)所述測(cè)試參數(shù)執(zhí)行所述當(dāng)前代碼，得到代碼運(yùn)行數(shù)據(jù)的步驟包括：根據(jù)所述功能控件以及所述測(cè)試參數(shù)構(gòu)造測(cè)試網(wǎng)絡(luò)訪問(wèn)請(qǐng)求；根據(jù)所述測(cè)試網(wǎng)絡(luò)訪問(wèn)請(qǐng)求執(zhí)行所述當(dāng)前代碼，得到代碼運(yùn)行數(shù)據(jù)。

在一個(gè)實(shí)施例中，所述方法還包括：若確定所述當(dāng)前代碼存在漏洞，丟棄所述當(dāng)前網(wǎng)絡(luò)訪問(wèn)請(qǐng)求。

在一個(gè)實(shí)施例中，所述在所述當(dāng)前代碼中插入探針函數(shù)的步驟包括：對(duì)所述當(dāng)前代碼進(jìn)行檢測(cè)，得到所述當(dāng)前代碼的目標(biāo)語(yǔ)句，所述目標(biāo)語(yǔ)句包括以下代碼語(yǔ)句中的至少一個(gè)：當(dāng)前代碼的起始語(yǔ)句、終止語(yǔ)句、判斷語(yǔ)句、變量約束條件對(duì)應(yīng)的語(yǔ)句以及訪問(wèn)參數(shù)對(duì)應(yīng)的代碼語(yǔ)句；在所述當(dāng)前代碼的目標(biāo)語(yǔ)句上插入探針函數(shù)。