本發明提供了一種安全測試方法、裝置及系統，其中方法包括：在對待測產品進行功能測試過程中，復制并存儲測試過程中產生的網頁數據至數據庫，重復上述步驟直到功能測試結束；從所述數據庫中提取所述待測產品的網頁數據，并發送所述待測產品的網頁數據至安全測試系統；接收所述安全測試系統反饋的安全測試結果。本發明可以通過將功能測試和安全測試相結合的方式，可以簡單方便地獲得覆蓋率比較全面的產品數據，后續基于產品數據進行安全測試，所以可以提高安全測試的覆蓋率和效率。

技術領域

本申請涉及通信技術領域，尤其涉及安全測試方法及裝置。

背景技術

為了保證金融行業產品(例如，銀行應用、銀行網站等)的安全性，需要對金融行業產品進行安全測試。

目前多采用安全測試工具進行安全測試，但是安全測試工具基于爬蟲方式進行，不適用于金融行業產品。因為金融行業中的產品中很多頁面需要輸入內容，并且，對輸入內容進行校驗之后才能訪問下一級頁面。因此，采用爬蟲方式僅能獲取待測產品中一級頁面和少量二級頁面的產品數據，無法獲取待測產品的全部數據，導致安全測試的覆蓋率較低。

例如，以自動化測試工具AWVS為主導的自動化安全測試工具均采用爬蟲原理進行，可以自動去爬取待測產品的各種URL鏈接，但此類安全測試工具在對金融行業產品進行安全測試時，存在嚴重適用性問題。因為金融行業產品對輸入數據的限制非常嚴苛，隨機爬去或者輸入數據，無法正確進入二級或更深層頁面。

目前，也有人工收集待測產品的產品數據，以發送至自動化測試工具進行安全測試。但是，人工收集產品數據需要較大工作量，導致安全測試的效率較低且覆蓋率不全面。

例如，由于金融產品業務的復雜性，在測試過程之前，往往需要對測試人員進行業務培訓、以便測試人員了解產品業務，并針對待測產品的業務收集產品數據，這需要投入大量時間，甚至可能在數量級上已經超過安全測試本身所需時間。同時因為對金融產品業務的缺失，測試人員在測試覆蓋度上也可能存在一定的缺失。

發明內容

鑒于此，本申請提供一種安全測試方法、裝置及系統，可以金融行業產品進行安全測試，且，提高安全測試的覆蓋率和效率。

為了實現上述目的，本發明提供了下述技術特征：

一種安全測試方法，包括：

在對待測產品進行功能測試過程中，復制并存儲測試過程中產生的網頁數據至數據庫，重復上述步驟直到功能測試結束；

從所述數據庫中提取所述待測產品的網頁數據，并發送所述待測產品的網頁數據至安全測試系統；

接收所述安全測試系統反饋的安全測試結果。

可選的，所述在對待測產品進行功能測試過程中，復制并存儲測試過程中產生的網頁數據至數據庫，重復上述步驟直到功能測試結束，包括：

在采用瀏覽器軟件對所述待測產品進行功能測試的過程中，利用預先設置于所述瀏覽器軟件的軟件腳本，復制功能測試過程中產生的網頁數據并存儲所述網頁數據至數據庫；

重復上述步驟直到所述功能測試結束。

可選的，在重復上述步驟直到所述功能測試結束之后，還包括：

確定所述待測產品對應的待測網址；

按所述待測產品對應的待測網址，對所述數據庫中的網頁數據執行篩選操作；

僅保留包含有所述待測網址的網頁數據。

可選的，所述從所述數據庫中提取所述待測產品的網頁數據，并發送所述待測產品的網頁數據至安全測試系統，包括：

采用靜默測試方式，實現從所述數據庫中提取所述待測產品的網頁數據，并發送所述待測產品的網頁數據至安全測試系統。