本公開(kāi)提供了一種測(cè)試方法，包括：獲取客戶端向服務(wù)端發(fā)送的目標(biāo)報(bào)文，其中，目標(biāo)報(bào)文包括多個(gè)字符型數(shù)據(jù)，多個(gè)字符型數(shù)據(jù)表征了目標(biāo)報(bào)文的報(bào)文特征；基于目標(biāo)報(bào)文的報(bào)文特征，確定測(cè)試場(chǎng)景；根據(jù)測(cè)試場(chǎng)景和目標(biāo)報(bào)文，確定測(cè)試報(bào)文；將測(cè)試報(bào)文發(fā)送給服務(wù)端，以便于服務(wù)端處理測(cè)試報(bào)文得到測(cè)試結(jié)果；以及基于測(cè)試結(jié)果，確定服務(wù)端處理目標(biāo)報(bào)文時(shí)是否存在安全問(wèn)題。本公開(kāi)還提供了一種測(cè)試裝置、一種測(cè)試設(shè)備以及一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。

技術(shù)領(lǐng)域

本公開(kāi)涉及計(jì)算機(jī)技術(shù)領(lǐng)域，特別是涉及一種測(cè)試方法、一種測(cè)試裝置、一種測(cè)試設(shè)備以及一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。

背景技術(shù)

業(yè)務(wù)邏輯類漏洞是指由于程序邏輯設(shè)計(jì)不嚴(yán)，導(dǎo)致不法分子可以通過(guò)重新發(fā)送報(bào)文、篡改報(bào)文中的業(yè)務(wù)參數(shù)等手段執(zhí)行不法操作。傳統(tǒng)的安全防御設(shè)備和措施在檢測(cè)業(yè)務(wù)邏輯漏洞方面收效甚微。

在實(shí)現(xiàn)本公開(kāi)構(gòu)思的過(guò)程中，發(fā)明人發(fā)現(xiàn)相關(guān)技術(shù)中至少存在如下問(wèn)題。

一些傳統(tǒng)的自動(dòng)化安全測(cè)試方法在進(jìn)行測(cè)試時(shí)主要依賴人工分析業(yè)務(wù)功能以構(gòu)造測(cè)試報(bào)文，并將測(cè)試報(bào)文發(fā)送到服務(wù)端進(jìn)行測(cè)試。此類測(cè)試方法依賴于測(cè)試人員在充分了解業(yè)務(wù)功能后構(gòu)造測(cè)試報(bào)文，對(duì)測(cè)試人員的要求高，且由人工構(gòu)造的測(cè)試報(bào)文難以遍歷所有異常場(chǎng)景，極易出現(xiàn)漏測(cè)某些異常場(chǎng)景的問(wèn)題。另外，通過(guò)人工構(gòu)造測(cè)試報(bào)文的方式存在測(cè)試步驟相對(duì)復(fù)雜，測(cè)試效率較低的問(wèn)題。

此外，一些傳統(tǒng)的自動(dòng)化安全測(cè)試方法在進(jìn)行測(cè)試時(shí)需要確定具體的業(yè)務(wù)場(chǎng)景，以便針對(duì)不同的業(yè)務(wù)場(chǎng)景利用不同的測(cè)試案例進(jìn)行測(cè)試。業(yè)務(wù)場(chǎng)景例如包括轉(zhuǎn)賬類業(yè)務(wù)場(chǎng)景、登錄類業(yè)務(wù)場(chǎng)景等。此類測(cè)試方法需要提前定義具體的業(yè)務(wù)場(chǎng)景，并且需要提前人工構(gòu)造業(yè)務(wù)場(chǎng)景與測(cè)試案例之間的對(duì)應(yīng)規(guī)則。因此，當(dāng)出現(xiàn)新的業(yè)務(wù)場(chǎng)景時(shí)，需要實(shí)時(shí)更新業(yè)務(wù)場(chǎng)景與測(cè)試案例之間的對(duì)應(yīng)規(guī)則，浪費(fèi)人力成本。另外，隨著業(yè)務(wù)的發(fā)展，一些業(yè)務(wù)場(chǎng)景可能存在一些隱藏的漏洞，通過(guò)人工難以發(fā)現(xiàn)該隱藏的漏洞，導(dǎo)致沒(méi)有合適的測(cè)試案例進(jìn)行測(cè)試。

發(fā)明內(nèi)容

有鑒于此，本公開(kāi)提供了一種優(yōu)化的測(cè)試方法、測(cè)試裝置、測(cè)試設(shè)備和計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。

本公開(kāi)的一個(gè)方面提供了一種測(cè)試方法，包括：獲取客戶端向服務(wù)端發(fā)送的目標(biāo)報(bào)文，其中，所述目標(biāo)報(bào)文包括多個(gè)字符型數(shù)據(jù)，所述多個(gè)字符型數(shù)據(jù)表征了所述目標(biāo)報(bào)文的報(bào)文特征，基于所述目標(biāo)報(bào)文的報(bào)文特征，確定測(cè)試場(chǎng)景，根據(jù)所述測(cè)試場(chǎng)景和所述目標(biāo)報(bào)文，確定測(cè)試報(bào)文，將所述測(cè)試報(bào)文發(fā)送給所述服務(wù)端，以便于所述服務(wù)端處理所述測(cè)試報(bào)文得到測(cè)試結(jié)果，基于所述測(cè)試結(jié)果，確定所述服務(wù)端處理所述目標(biāo)報(bào)文時(shí)是否存在安全問(wèn)題。

根據(jù)本公開(kāi)實(shí)施例，上述根據(jù)所述測(cè)試場(chǎng)景和所述目標(biāo)報(bào)文，確定測(cè)試報(bào)文包括以下至少一項(xiàng)：響應(yīng)于確定所述測(cè)試場(chǎng)景為第一類場(chǎng)景，將所述目標(biāo)報(bào)文作為所述測(cè)試報(bào)文，以及響應(yīng)于確定所述測(cè)試場(chǎng)景為第二類場(chǎng)景，處理所述目標(biāo)報(bào)文并將處理后目標(biāo)報(bào)文作為所述測(cè)試報(bào)文，其中，所述第一類場(chǎng)景表征所述目標(biāo)報(bào)文包括獲取驗(yàn)證碼的報(bào)文，所述第二類場(chǎng)景表征所述目標(biāo)報(bào)文包括請(qǐng)求登錄的報(bào)文和/或表征所述目標(biāo)報(bào)文中的用戶信息存在風(fēng)險(xiǎn)。

根據(jù)本公開(kāi)實(shí)施例，上述處理所述目標(biāo)報(bào)文包括：獲取樣本用戶的用戶屬性信息，通過(guò)將所述目標(biāo)報(bào)文中的用戶屬性信息替換為所述樣本用戶的用戶屬性信息，得到所述處理后目標(biāo)報(bào)文。

根據(jù)本公開(kāi)實(shí)施例，上述目標(biāo)報(bào)文包括多個(gè)交易數(shù)據(jù)。其中，所述處理所述目標(biāo)報(bào)文包括以下至少一項(xiàng)：改變所述多個(gè)交易數(shù)據(jù)的順序，以及刪除所述多個(gè)交易數(shù)據(jù)中的至少一個(gè)交易數(shù)據(jù)。

根據(jù)本公開(kāi)實(shí)施例，上述方法還包括：處理所述目標(biāo)報(bào)文，得到所述目標(biāo)報(bào)文的報(bào)文特征。其中，所述處理所述目標(biāo)報(bào)文，得到所述目標(biāo)報(bào)文的報(bào)文特征包括：獲取所述目標(biāo)報(bào)文中的多個(gè)字符型數(shù)據(jù)，其中，所述多個(gè)字符型數(shù)據(jù)中的每個(gè)字符型數(shù)據(jù)均包括字符或字符串，確定所述每個(gè)字符型數(shù)據(jù)在所述目標(biāo)報(bào)文中出現(xiàn)的次數(shù)，基于所述次數(shù)，確定所述目標(biāo)報(bào)文的特征向量，其中，所述特征向量表征了所述報(bào)文特征。