本公開提供了一種用于檢測業務邏輯漏洞的方法，包括：響應于獲得服務端下發到客戶端的腳本，識別腳本中的邏輯判斷節點作為關鍵數據；響應于獲得客戶端向服務端發送的業務請求，從業務請求中提取請求參數；基于關鍵數據處理請求參數，確定請求參數的合法取值范圍；基于合法取值范圍，構造包含不合法的請求參數在內的攻擊請求，并將攻擊請求發送到服務端；以及接收服務端針對攻擊請求的響應信息，并根據響應信息確定是否存在業務邏輯漏洞。本公開還提供了一種用于檢測業務邏輯漏洞的裝置、一種電子設備、一種計算機可讀存儲介質以及一種用于檢測業務邏輯漏洞的系統。

技術領域

本公開涉及自動化測試技術領域，尤其涉及一種用于檢測業務邏輯漏洞的方法、裝置、系統、設備及介質。

背景技術

在應用程序中，為了保障業務系統的安全，幾乎每個系統都會存在各種各樣的驗證功能，如賬號密碼驗證、驗證碼驗證、關鍵交易參數驗證等。此類用戶提交的參數僅在前端做驗證是不安全的，攻擊者可以使用各種方法輕易的繞過。如在電子書購物交易中，應用程序要求用戶在付款后才能瀏覽對應圖書，如果是否付費標識只依賴前端腳本控制，那么惡意用戶可以通過瀏覽器調試工具篡改前端驗證邏輯，或使用抓包工具篡改通信報文中相關參數，繞過前端控制，免費使用服務，造成網站資金損失。

在日常測試中，針對以上場景，需要人工分析業務功能，構造正常業務規則范圍外的測試數據，通過前端代碼調試或抓包篡改通信報文等方法將測試數據發送到服務端進行測試。此種測試方法至少存在如下不足：

1.測試點易遺漏。上述方法主要依賴于測試人員在充分了解業務功能后，判斷測試點并構造測試數據，遍歷所有異常場景，極易出現漏測；

2.技術難度大。無論是前端代碼調試還是使用工具抓包修改業務參數，都具有較高的技術門檻，普通的功能測試人員難以操作；

3.測試效率低。人工調試代碼或篡改通信參數，修改并遍歷所有異常可能值，判斷各異常值對應的服務端控制情況，測試步驟相對復雜，效率低下。

發明內容

本公開的第一方面提供了一種用于檢測業務邏輯漏洞的方法，包括：響應于獲得服務端下發到客戶端的腳本，識別所述腳本中的邏輯判斷節點作為關鍵數據；響應于獲得客戶端向所述服務端發送的業務請求，從所述業務請求中提取請求參數；基于所述關鍵數據處理所述請求參數，確定所述請求參數的合法取值范圍；基于所述合法取值范圍，構造包含不合法的請求參數在內的攻擊請求，并將所述攻擊請求發送到所述服務端；以及接收所述服務端針對所述攻擊請求的響應信息，并根據所述響應信息確定是否存在業務邏輯漏洞。

可選地，所述方法還包括：攔截所述客戶端與服務端之間的交互數據；從所述交互數據中識別出所述服務端下發到客戶端的腳本以及客戶端向所述服務端發送的業務請求。

可選地，所述方法還包括：對所述關鍵數據進行插樁處理；所述基于所述關鍵數據處理所述請求參數，確定所述請求參數的合法取值范圍包括：從基于經插樁處理的腳本生成的業務請求中獲得樁點信息；以及基于所述樁點信息，確定所述請求參數的合法取值范圍。

可選地，所述獲得服務端針對所述攻擊請求的響應信息，確定是否存在業務邏輯漏洞包括：將所述業務請求發送到所述服務端，以獲得針對所述業務請求的響應信息；將所述攻擊請求的響應信息與業務請求的響應信息進行比對，以便確定是否存在業務邏輯漏洞；所述方法還包括，在存在業務邏輯漏洞的情況下，生成告警信息。