导航：首页> 供热；炉灶；通风>一种安全测试结果的自动化判定方法及装置

一种安全测试结果的自动化判定方法及装置

文献发布时间：2023-06-19 16:09:34

技术领域

本申请涉及软件测试领域，更具体地说，涉及一种安全测试结果的自动化判定方法及装置。

背景技术

在对软件进行测试时，通常可以使用自动化测试工具进行软件测试。自动化工具可以通过预先设置好的测试脚本，自动完成测试过程。

现有的自动化安全测试技术在完成测试后，一般通过进行多次成功与不成功的尝试，从而设定区分成功与否的关键信息。因此在测试不同系统时，需要针对不同的系统分别进行多次的成功与不成功尝试，导致在进行批量测试时，判定效率低下。

发明内容

本申请实施例提供了一种安全测试结果的自动化判定方法及装置及装置，可以解决在进行批量测试时，判定效率低下的问题。

为解决上述技术问题，本发明提供了一种安全测试结果的自动化判定方法，包括：

接收安全测试过程中产生的返回包信息；

根据预定义规则库对返回包信息对应的分值进行赋值，得到赋值结果，预定义规则库用于定义返回包信息中各个返回项对应的成功与不成功分值信息；

根据预设的第一判定规则对赋值结果进行对比判定，确定安全测试结果。

优选地，接收安全测试的返回包信息之后，上述方法还包括：

将返回包信息进行分类，得到分类后的返回包信息；

将分类后的返回包信息转换为json格式的返回包信息；

将json格式的返回包信息存储至数据库中。

优选地，根据预定义规则库对返回包信息对应的分值进行赋值包括：

从返回包信息中获取多个返回项，多个返回项包括如下至少一种：HTTP状态码、HEADER头信息、返回包长度、返回数据信息、服务器处理时间内容；

根据预定义规则库对多个返回项分别进行成功与不成功分值的赋值。

优选地，根据预设的第一判定规则对赋值结果进行对比判定包括：

根据赋值结果获取成功分值和不成功分值，成功分值包括返回包信息中赋值为成功的返回项的得分之和，不成功分值包括返回包信息中赋值为不成功的返回项的得分之和；

当成功分值达到满分，且不成功分值不足满分时，则确定安全测试结果为成功；或，当不成功分值达到满分，且成功分值不足满分时，则确定安全测试结果为不成功；

当成功分值和不成功分值均达到满分，且成功分值和不成功分值相差大于或等于预设标准差值时，则确定安全测试结果为成功分值和不成功分值中分值较大项对应的安全测试结果；

当成功分值和不成功分值均未达到满分，且成功分值和不成功分值相差大于或等于预设标准差值时，则确定安全测试结果为成功分值和不成功分值中分值较大项对应的安全测试结果。

优选地，上述方法，还包括：

当成功分值和不成功分值均达到满分，且成功分值和不成功分值相差小于预设标准差值时，或，当成功分值和不成功分值均未达到满分，且成功分值和不成功分值相差小于预设标准差值时，生成第二判定规则，其中，生成第二判定规则包括：获取历史返回包信息，所述历史返回包信息包括多个历史成功包和多个历史不成功包，通过对比多个历史成功包中重复出现的相同的返回项生成成功规则，定义返回包信息中各个返回项对应的成功分值信息；通过对比多个历史不成功包中重复出现的相同的返回项生成不成功规则，定义返回包信息中各个返回项对应的不成功分值信息；

根据第二判定规则对赋值结果进行对比判定，当成功分值和不成功分值均达到满分，且成功分值和不成功分值相差小于预设标准差值时，或，当成功分值和不成功分值均未达到满分，且成功分值和不成功分值相差小于预设标准差值时，则再次生成第二判定规则；

根据第二判定规则对赋值结果进行对比判定，当成功分值达到满分，且不成功分值不足满分时，则确定安全测试结果为成功；当不成功分值达到满分，且成功分值不足满分时，则确定安全测试结果为不成功；

根据第二判定规则对赋值结果进行对比判定，当成功分值和不成功分值均达到满分，且成功分值和不成功分值相差大于或等于预设标准差值时，则确定安全测试结果为成功分值和不成功分值中分值较大项对应的安全测试结果；

根据第二判定规则对赋值结果进行对比判定，当成功分值和不成功分值均未达到满分，且成功分值和不成功分值相差大于或等于预设标准差值时，则确定安全测试结果为成功分值和不成功分值中分值较大项对应的安全测试结果。

为解决上述技术问题，本发明还提供了一种安全测试结果的自动化判定装置，包括：

接收模块，用于接收安全测试过程中产生的返回包信息；

预定义规则库，用于定义返回包信息中各个返回项对应的成功与不成功分值信息；

赋值模块，用于根据预定义规则库对返回包信息对应的分值进行赋值，得到赋值结果；

第一判定模块，用于根据预设的判定规则对赋值结果进行对比判断，确定安全测试结果。

优选地，接收模块包括：

分类单元，用于将返回包信息进行分类，得到分类后的返回包信息；

格式转换单元，用于将分类后的返回包信息转换为json格式的返回包信息；

存储单元，用于将json格式的返回包信息存储至数据库中。

优选地，赋值模块，包括：

获取单元，用于从返回包信息中获取多个返回项，多个返回项包括如下至少一种：HTTP状态码、HEADER头信息、返回包长度、返回数据信息、服务器处理时间内容；

赋值单元，用于根据预定义规则库对多个返回项分别进行成功与不成功分值的赋值。

优选地，第一判定模块具体用于：

优选地，上述装置，还包括：

第二判定模块，用于当成功分值和不成功分值均达到满分，且成功分值和不成功分值相差小于预设标准差值时，或，当成功分值和不成功分值均未达到满分，且成功分值和不成功分值相差小于预设标准差值时，生成第二判定规则，其中，生成第二判定规则包括：获取历史返回包信息，历史返回包信息包括多个历史成功包和多个历史不成功包，通过对比多个历史成功包中重复出现的相同的返回项生成成功规则，定义返回包信息中各个返回项对应的成功分值信息；通过对比多个历史不成功包中重复出现的相同的返回项生成不成功规则，定义返回包信息中各个返回项对应的不成功分值信息。

第二判定模块具体用于，

本发明提供了一种安全测试结果的自动化判定方法及装置，该方案中，根据预定义规则库对返回包信息对应的分值进行赋值，得到赋值结果，并根据预设的第一判定规则对赋值结果进行对比判定，确定安全测试结果。可见，本申请能够通过预定义规则库对返回包信息对应的分值进行赋值，且对赋值结果进行自动化地对比判定，实现对批量测试结果的自动化判定，提高了判定效率。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种安全测试结果的自动化判定方法的流程示意图；

图2为本申请实施例提供的一种安全测试结果的自动化判定装置的结构示意图；

图3为本申请实施例提供的另一种安全测试结果的自动化判定方法的流程示意图；

图4为本申请实施例提供的另一种安全测试结果的自动化判定装置的结构示意图。

具体实施方式

下面结合附图，对本申请的实施例进行描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。本领域普通技术人员可知，随着技术的发展和新场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

本申请实施例提供一种安全测试结果的自动化判定方法，用于在进行批量自动化测试时，提高安全测试结果的判定效率。本申请实施例还提供了相应的装置。以下分别进行详细说明。

参见图1，该图为本申请实施例提供的一种安全测试结果的自动化判定方法的流程示意图。本申请实施例提供的一种安全测试结果的自动化判定方法，例如可以通过如下步骤S101-S104实现。

S101：接收安全测试过程中产生的返回包信息。

安全测试是对目标系统的安全漏洞情况或安全防护情况进行检测的过程。在进行自动化安全测试的过程中，需要对安全测试结果进行成功与否的判断。

具体的，安全测试结果可以为弱口令枚举探测结果、测试请求执行结果等。

以弱口令枚举探测为例，在进行弱口令枚举探测时，通过自动化测试的方法对单一用户进行不同密码的登录请求测试，接收测试过程中产生的返回包信息。

具体的，返回包信息中包括多个返回项，多个返回项可以为超文本传输协议状态码(HyperTextTransfer Protocol Status Code，HTTP状态码)、HEADER头信息、返回包长度、返回数据信息、服务器处理时间内容等。

S102：预定义规则库，定义返回包信息中各个返回项对应的成功与不成功分值信息。

具体的，预定义规则库是用于定义返回包信息中的各个返回项在不同情况下的成功的可能性分值与不成功的可能性分值。例如当HTTP状态码为404时，定义不成功分值为100分，当HTTP状态码为200时，定义成功与不成功分值均为10分；当返回数据长度小于100字节时，定义不成功分值为20分，成功分值为10分。

可以理解的是，上述分值为100分，10分，或20分，只是一种可实现方式的举例，不作为对申请实施例的限定，例如还可以结合上述实际应用场景确定分值为当HTTP状态码为404时，定义不成功分值为200分，当HTTP状态码为200时，定义成功与不成功分值均为20分；当返回数据长度小于100字节时，定义不成功分值为40分，成功分值为20分。

S103：根据预定义规则库对返回包信息对应的分值进行赋值，得到赋值结果。

具体的，对返回包信息中的各个返回项依照预定义规则库中预先定义的各个返回项进行匹配，对符合预定义规则库的相应返回项进行赋值，并将最终赋值结果保存。例如，结合S102的例子，当返回包信息中包括HTTP状态码和返回数据长度时，与预定义规则库中预先定义的返回项进行匹配，匹配完成后，当返回包信息中的HTTP状态码为404时，则将HTTP状态码赋值为不成功100分，当返回包信息中的返回数据长度小于100字节时，则将返回数据长度赋值为不成功20分。

可以理解的是，上述分值为100分，20分，只是一种可实现方式的举例，不作为对申请实施例的限定，例如还可以结合上述实际应用场景确定分值为当HTTP状态码为404时，将HTTP状态码赋值为成功0分；当返回数据长度小于100字节时，将返回数据长度赋值为成功10分。

S104：根据预设的第一判定规则对赋值结果进行对比判定，确定安全测试结果。

本申请实施例中，第一判定规则用于对赋值结果进行对比判定，该第一判定规则的实现方式有多种，只要能够实现对赋值结果的对比判定即可。

本申请实施例中，通过预设的第一判定规则对赋值结果进行对比判定，从而可以确定安全测试结果，该安全测试结果可以包括成功或不成功。

接下来对上述S104的实现方式进行举例说明，在一种可实现方式中，具体的，根据赋值结果获取成功分值和不成功分值，成功分值包括返回包信息中赋值为成功的返回项的得分之和，不成功分值包括返回包信息中赋值为不成功的返回项的得分之和；

当成功分值达到满分，且不成功分值不足满分时，则确定安全测试结果为成功；或，当不成功分值达到满分，且成功分值不足满分时，则确定安全测试结果为不成功。例如，当成功分值为100分，且不成功分值未达到100分时，安全测试结果为成功；

当成功分值和不成功分值均达到满分，且成功分值和不成功分值相差大于或等于预设标准差值时，则确定安全测试结果为成功分值和不成功分值中分值较大项对应的安全测试结果。例如，当成功分值为40分，不成功分为80分时，成功分值与不成功分值相差超过20分，则安全测试结果为不成功。

可以理解的是，上述分值为100分，20分，40分或80分只是一种可实现方式的举例，不作为对申请实施例的限定，例如还可以结合上述实际应用场景确定当成功分值为200分，且不成功分值未达到200分时，安全测试结果为成功；当成功分值为60分，不成功分为120分时，成功分值与不成功分值相差超过30分，则安全测试结果为不成功。

本申请实施例通过预定义规则库对返回包信息对应的分值进行赋值，对赋值结果进行自动化地对比判定，实现对批量测试结果的自动化判定，从而提高了判定效率。

图2是本申请实施例提供的一种安全测试结果的自动化判定方法的另一流程示意图，可以通过如下步骤S201-S206实现。

S201：接收安全测试过程中产生的返回包信息。

可选的，作为一种实施例，将返回包信息进行分类，得到分类后的返回包信息；将分类后的返回包信息转换为json格式的返回包信息；将json格式的返回包信息存储至数据库中。

可选的，作为一种实施例，由于目前通用的批量安全测试的方法对于跳转内容的处理不到位，导致仅依据单一请求的返回包信息无法判定是否为成功，在本申请实施例中，对存在跳转的内容进行持续追踪，通过程序自动对跳转后的链接发送访问请求，进行访问，直至访问到了非跳转的，可以进行判定成功与否的页面为止。其中，跳转与否是根据返回包的HTTP状态码来判定的，当HTTP状态码为302时，即发生跳转。

S202：预定义规则库，定义返回包信息中各个返回项对应的成功与不成功分值信息。

S203：根据预定义规则库对返回包信息对应的分值进行赋值，得到赋值结果。

S204：根据预设的第一判定规则对赋值结果进行对比判定，是否能够确定安全测试结果。

可选的，作为一种实施例，根据赋值结果获取成功分值和不成功分值，成功分值包括返回包信息中赋值为成功的返回项的得分之和，不成功分值包括返回包信息中赋值为不成功的返回项的得分之和。

当成功分值达到满分，且不成功分值不足满分时，则确定安全测试结果为成功；或，当不成功分值达到满分，且成功分值不足满分时，则确定安全测试结果为不成功。在确定安全测试结果后，结束进程。

当成功分值和不成功分值均达到满分，且成功分值和不成功分值相差小于预设标准差值时，或，当成功分值和不成功分值均未达到满分，且成功分值和不成功分值相差小于预设标准差值时，跳转至步骤S206。

可以理解的是，上述步骤S201至S204的实现方式，与前述图1所示的实施例中步骤S101至S104相类似，此处不再赘述。

S205：生成第二判定规则。

具体的，在生成第二判定规则前，第一判定规则失效。

可选的，作为一种实施例，获取历史返回包信息，历史返回包信息包括多个历史成功包和多个历史不成功包；对历史返回包信息进行分类，将分类后的历史返回包信息转换为json格式；通过对比多个历史成功包中重复出现的相同的返回项生成成功规则，定义返回包信息中各个返回项对应的成功分值信息；通过对比多个历史不成功包中重复出现的相同的返回项生成不成功规则，定义返回包信息中各个返回项对应的不成功分值信息；将获得的规则以json格式在系统中展示，用户输入信息对在系统中展示的自动化生成的规则进行修改，获得第二判定规则。

S206：根据第二判定规则对赋值结果进行对比判定，是否能够确定安全测试结果。

可选的，作为一种实施例，根据第二判定规则对赋值结果进行对比判定，当成功分值和不成功分值均达到满分，且成功分值和不成功分值相差小于预设标准差值时，或，当成功分值和不成功分值均未达到满分，且成功分值和不成功分值相差小于预设标准差值时，则返回S205；

根据第二判定规则对赋值结果进行对比判定，当成功分值达到满分，且不成功分值不足满分时，则确定安全测试结果为成功；当不成功分值达到满分，且成功分值不足满分时，则确定安全测试结果为不成功，结束进程；

根据第二判定规则对赋值结果进行对比判定，当成功分值和不成功分值均达到满分，且成功分值和不成功分值相差大于或等于预设标准差值时，则确定安全测试结果为成功分值和不成功分值中分值较大项对应的安全测试结果，结束进程；

根据第二判定规则对赋值结果进行对比判定，当成功分值和不成功分值均未达到满分，且成功分值和不成功分值相差大于或等于预设标准差值时，则确定安全测试结果为成功分值和不成功分值中分值较大项对应的安全测试结果，结束进程。

本申请实施例通过预定义规则库对返回包信息对应的分值进行赋值，对赋值结果进行自动化地对比判定，实现对批量测试结果的自动化判定，在第一判定规则无法确定安全测试结果时，令第一判定规则失效，生成新的规则，将规则以json格式化方式进行展示，方便用户输入信息对json格式的规则进行修改，从而获得第二判定规则。在进行赋值前，对存在跳转的内容进行持续追踪，避免返回包信息出现多次跳转是的返回包内容频繁变化的问题，降低了安全测试结果的误判率。第二判定规则通过用户对系统自动生成的规则进行修改，较通用规则而言更具备特殊性，能够更精确的对赋值状态进行判断。

以上描述了本申请实施例提供的安全测试结果的自动化判定方法，下面结合附图介绍本申请实施例提供的安全测试结果的自动化判定装置。

如图3所示，本申请实施例提供的安全测试结果的自动化判定装置的一实施例包括：

接收模块301，用于接收安全测试过程中产生的返回包信息。

预定义规则库302，用于定义返回包信息中各个返回项对应的成功与不成功分值信息。

赋值模块303，用于根据预定义规则库对返回包信息对应的分值进行赋值，得到赋值结果。

第一判定模块304，用于根据预设的判定规则对赋值结果进行对比判断，确定安全测试结果。

一种可能的实施例中，接收模块包括：

分类单元，用于将返回包信息进行分类，得到分类后的返回包信息。

格式转换单元，用于将分类后的返回包信息转换为json格式的返回包信息。

存储单元，用于将json格式的返回包信息存储至数据库中。

一种可能的实施例中，赋值模块，包括：

获取单元，用于从返回包信息中获取多个返回项，多个返回项包括如下至少一种：HTTP状态码、HEADER头信息、返回包长度、返回数据信息、服务器处理时间内容。

赋值单元，用于根据预定义规则库对多个返回项分别进行成功与不成功分值的赋值。

需要说明的是，上述所描述的安全测试结果的自动化判定装置由于与本申请图1所示的方法实施例基于同一构思，其带来的技术效果与本申请方法实施例相同，具体内容可参见本申请前述所示的图1的方法实施例的叙述，此处不再赘述。

如图4所示，本申请实施例提供的安全测试结果的自动化判定装置的另一实施例包括：

接收模块401，用于接收安全测试过程中产生的返回包信息。

预定义规则库402，用于定义返回包信息中各个返回项对应的成功与不成功分值信息。

赋值模块403，用于根据预定义规则库对返回包信息对应的分值进行赋值，得到赋值结果。

第一判定模块404，用于根据预设的判定规则对赋值结果进行对比判断，确定安全测试结果。

第二判定模块405，用于根据生成的第二判定规则对赋值结果进行对比判断，确定安全测试结果。

一种可能的实施例中，第二判定模块405，包括：

规则采集单元，用于获取历史返回包信息，历史返回包信息包括多个历史成功包和多个历史不成功包，通过对比多个历史成功包中重复出现的相同的返回项生成成功规则，定义返回包信息中各个返回项对应的成功分值信息；通过对比多个历史不成功包中重复出现的相同的返回项生成不成功规则，定义返回包信息中各个返回项对应的不成功分值信息。

规则生成单元，用于将获得的规则以json格式在系统中展示，用户输入信息对在系统中展示的自动化生成的规则进行修改，获得第二判定规则。

一种可能的实施例中，接收模块401还用于，对存在跳转的内容进行持续追踪，通过程序自动对跳转后的链接发送访问请求，进行访问，直至访问到了非跳转的，可以进行判定成功与否的页面为止。

需要说明的是，上述所描述的安全测试结果的自动化判定装置由于与本申请图2所示的方法实施例基于同一构思，其带来的技术效果与本申请方法实施例相同，具体内容可参见本申请前述所示的图2的方法实施例的叙述，此处不再赘述。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑业务划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各业务单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件业务单元的形式实现。

集成的单元如果以软件业务单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本发明所描述的业务可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些业务存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

以上的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上仅为本发明的具体实施方式而已。

以上，以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
专利发明人：刘明;李志伟;马占祥;靳晓雨;马大伟;
专利申请人：国网数字科技控股有限公司;国网电商科技有限公司;

上一篇：一种用于制造纱管纸的初沉池污泥回用工艺
下一篇：空调室外机、空调器以及空调室外机的控制方法