[發明專利]基于fiddler的安全越權問題批量測試方法和裝置在審
| 申請號: | 202110619911.2 | 申請日: | 2021-06-03 |
| 公開(公告)號: | CN113204496A | 公開(公告)日: | 2021-08-03 |
| 發明(設計)人: | 趙麗麗 | 申請(專利權)人: | 上海中通吉網絡技術有限公司 |
| 主分類號: | G06F11/36 | 分類號: | G06F11/36;G06F21/44 |
| 代理公司: | 北京細軟智谷知識產權代理有限責任公司 11471 | 代理人: | 牛晴 |
| 地址: | 201799 上*** | 國省代碼: | 上海;31 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 基于 fiddler 安全 越權 問題 批量 測試 方法 裝置 | ||
1.一種基于fiddler的安全越權問題批量測試方法,其特征在于,包括:
通過fiddler獲取待測接口的接口信息;所述接口信息包括原始認證信息;
對測試例集的參數信息和公共越權接口的斷言進行配置;
將配置后的參數信息批量替換掉待測接口的原始認證信息,得到替換后的認證信息;
按照特定的批次順序,根據替換后的認證信息批量觸發訪問每個待測接口,以使待測接口執行訪問請求;
獲取服務器根據訪問請求返回的響應數據,并將響應數據與斷言內容進行比較;
當響應數據與斷言內容相符時,判定該待測接口的測試結果為通過;否則,該待測接口的測試結果為不通過。
2.根據權利要求1所述的方法,其特征在于,所述通過fiddler獲取待測接口的接口信息,包括:
打開fiddler,并開啟捕獲開關,使所有接口的接口信息均能夠被捕獲;
根據實際需要訪問并操作被測系統,篩選出待測接口,剔除無關接口,并獲取所述待測接口的接口信息。
3.根據權利要求1所述的方法,其特征在于,
所述原始認證信息為:待測接口的原始cookie信息;
對測試例集的參數信息和公共越權接口的斷言響應進行配置,包括:
將代表無權限訪問者的認證信息填入到測試例集的參數配置中;以及,
配置公共越權接口的斷言內容。
4.根據權利要求1至3任一項所述的方法,其特征在于,還包括:
對待測接口的接口信息進行存儲,以便后期管理。
5.根據權利要求1至3任一項所述的方法,其特征在于,還包括:
根據待測接口的測試結果,以一定形式組合輸出權限測試報告;
所述越權測試報告中還包括:該被測系統的權限測試結果;
其中,當越權測試報告中的所有待測接口的測試結果均為通過時,判定該被測系統的權限測試結果為通過;否則,判定被測系統的權限測試結果為不通過。
6.根據權利要求5所述的方法,其特征在于,
所述權限測試報告中包括:所有待測接口的測試明細信息;
所述待測接口的測試明細信息包括:待測接口的接口信息,測試例集及其對應的參數,和每個待測接口對應的測試結果。
7.一種基于fiddler的安全越權問題批量測試裝置,其特征在于,包括:
信息獲取模塊,用于通過fiddler獲取待測接口的接口信息;所述接口信息包括原始認證信息;
配置模塊,用于對測試例集的參數信息和公共越權接口的斷言進行配置;
替換模塊,用于將配置后的參數信息批量替換掉待測接口的原始認證信息,得到替換后的認證信息;
觸發訪問模塊,用于按照特定的批次順序,根據替換后的認證信息批量觸發訪問每個待測接口,以使待測接口執行訪問請求;
比較模塊,用于獲取服務器根據訪問請求返回的響應數據,并將響應數據與斷言內容進行比較;
結果判定模塊,用于當響應數據與斷言內容相符時,判定該待測接口的測試結果為通過;否則,判定該待測接口的測試結果為不通過。
8.根據權利要求7所述的裝置,其特征在于,還包括:
存儲模塊,用于對待測接口的接口信息進行存儲,以便后期管理。
9.根據權利要求7或8所述的裝置,其特征在于,還包括:
輸出模塊,用于根據待測接口的測試結果,以一定形式組合輸出權限測試報告;
所述越權測試報告中還包括:該被測系統的權限測試結果;
其中,當越權測試報告中的所有待測接口的測試結果均為通過時,判定該被測系統的權限測試結果為通過;否則,判定被測系統的權限測試結果為不通過。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于上海中通吉網絡技術有限公司,未經上海中通吉網絡技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110619911.2/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:交易處理系統及方法
- 下一篇:時鐘信號選擇電路、延時鏈電路和延時鎖相環
