一种基于互联网的云测试系统及安全测试方法专利检索-互联网浏览器可联网软件软件专利检索查询-专利查询网

一种基于互联网的云测试系统及安全测试方法

阅读：285发布：2020-05-12

专利汇可以提供一种基于互联网的云测试系统及安全测试方法专利检索，专利查询，专利分析的服务。并且本发明公开了一种基于互联网的云测试系统，包括用户、权限管理模块、测试对象选择模块、日志记录模块，应用程序安全测试模块、Web应用安全测试模块、安全性测试评估模块，所述应用程序安全测试模块包括反向安全性测试模块、正向安全性测试模块，所述反向安全性测试模块包括缺陷威胁模型建立模块、入侵点扫描模块、入侵点矩阵验证测试模块，所述正向安全性测试模块包括测试空间标识模块、设计空间精确定义模块、安全隐患标识模块、入侵点矩阵建立验证模块；本发明还公开了一种基于互联网的云测试系统的安全测试方法。本发明可对应用程序安全、Web应用安全，针对性进行快速安全测试，提高测试效率，降低测试环境的获取和维护成本。，下面是一种基于互联网的云测试系统及安全测试方法专利的具体信息内容。

权利要求

1.一种基于互联网的云测试系统，其特征在于，包括用户、权限管理模块、测试对象选择模块、日志记录模块，应用程序安全测试模块、Web应用安全测试模块、安全性测试评估模块，所述应用程序安全测试模块包括反向安全性测试模块、正向安全性测试模块。
2.根据权利要求1所述的一种基于互联网的云测试系统，其特征在于，所述反向安全性测试模块包括缺陷威胁模型建立模块、入侵点扫描模块、入侵点矩阵验证测试模块。
3.根据权利要求1所述的一种基于互联网的云测试系统，其特征在于，所述正向安全性测试模块包括测试空间标识模块、设计空间精确定义模块、安全隐患标识模块、入侵点矩阵建立验证模块。
4.根据权利要求1所述的一种基于互联网的云测试系统，其特征在于，所述Web应用安全测试模块包括SQL漏洞测试模块、XSS脚本测试模块、CSRF 请求测试模块、文件上传漏洞测试模块、URL跳转漏洞测试模块。
5.一种基于互联网的云测试系统的安全测试方法，其特征在于，包括以下步骤：
S1，登录系统；
S2，选择测试对象；
S3，根据不同对象进行对应的安全测试，包括应用程序安全测试和Web应用安全性测试；
S4，安全性测试评估。
6.根据权利要求5所述的一种基于互联网的云测试系统的安全测试方法，其特征在于，所述S3中应用程序安全性测试包括反向安全性测试和正向安全性测试，所述反向安全性测试包括如下步骤：
S1，建立缺陷威胁模型：建立缺陷威胁模型主要是从已知的安全漏洞入手，检查软件中是否存在已知的漏洞，建立威胁模型时，需要先确定软件牵涉到哪些专业领域，再根据各个专业领域所遇到的网络攻击手段来进行建模；
S2，寻找和扫描入侵点：检查威胁模型里的哪些缺陷可能在本软件中发生，再将可能发生的威胁纳入入侵点矩阵进行管理，如果有成熟的漏洞扫描工具，那么直接使用漏洞扫描工具进行扫描，然后将发现的可疑问题纳入入侵点矩阵进行管理；
S3，入侵矩阵的验证测试：创建好入侵矩阵后，就可以针对入侵矩阵的具体条目设计对应的测试用例，然后进行测试验证；
所述正向安全性测试包括如下步骤：
S1，标识测试空间：对测试空间的所有的可变数据进行标识，重点对外部输入层进行标识，例如，需求分析、概要设计、详细设计、编码这几个阶段都要对测试空间进行标识，并建立测试空间跟踪矩阵；
S2，精确定义设计空间：重点审查需求中对设计空间是否有明确定义，和需求牵涉到的数据是否都标识出了它的合法取值范围，在这个步骤中，要严格按照安全性原则来对设计空间做精确的定义；
S3，标识安全隐患：根据步骤S1、S2中找出的测试空间和设计空间以及它们之间的转换规则，标识出哪些测试空间和哪些转换规则可能存在安全隐患，例如,测试空间愈复杂，即测试空间划分越复杂或可变数据组合关系越多也越不安全，还有转换规则愈复杂，则出问题的可能性也愈大，这些都属于安全隐患；
S4，建立和验证入侵矩阵：安全隐患标识完成后，根据标识出来的安全隐患建立入侵矩阵，列出潜在安全隐患，标识出存在潜在安全隐患的可变数据，和标识出安全隐患的等级。
7.根据权利要求5所述的一种基于互联网的云测试系统的安全测试方法，其特征在于，所述S3中Web应用安全性测试包括以下步骤：
S1，SQL注入测试：在需要进行查询的页面，输入正确查询条件and 1＝1等简单sql语句，查看应答结果，如与输入正确查询条件返回结果一致，表明应用程序对用户输入未进行过滤，可以初步判断此处存在SQL注入漏洞；
S2，XSS跨站脚本攻击测试：在数据输入界面，输入：，保存成功后如果弹出对话框，表明此处存在一个XSS漏洞，或把url请求中参数改为，如果页面弹出对话框，表明此处存在一个XSS漏洞；
S3，CSRF跨站伪造请求攻击测试：同个浏览器打开两个页面，一个页面权限失效后，另一个页面是否可操作成功，如果仍然能操作成功即存在风险，或使用工具发送请求，在http请求头中不加入referer字段，检验返回消息的应答，应该重新定位到错误界面或者登录界面；
S4，文件上传漏洞测试：对上传的文件类型、大小等进行严格校验，禁止上传恶意代码的文件，对相关目录的执行权限进行校验，可以通过浏览器访问Web服务器上的所有目录，检查是否返回目录结构，如果显示的是目录结构，则可能存在安全问题；
S5，URL跳转漏洞测试：使用抓包工具抓取请求，抓取302的url，修改目标地址，查看是否能跳转。

说明书全文

一种基于互联网的云测试系统及安全测试方法

技术领域

[0001] 本发明涉及互联网安全检测系统技术领域，尤其涉及一种基于互联网的云测试系统及安全测试方法。

背景技术

[0002] 软件安全属于软件领域里一个重要的子领域，在以前的单机时代，安全问题主要是操作系统容易感染病毒，单机应用程序软件安全问题并不突出。但是自从互联网普及后，软件安全问题愈加显加突显，使得软件安全性测试的重要性上升到一个前所未有的高度。

[0003] 安全测试是软件开发过程中的重要环节之一，充分的测试是保证软件可靠性的重要基础，安全性测试是指有关验证应用程序的安全等级和识别潜在安全性缺陷的过程，应用程序级安全测试的主要目的是查找软件自身程序设计中存在的安全隐患，并检查应用程序对非法侵入的防范能力,安全性测试并不最终证明应用程序是安全的，而是用于验证所设立策略的有效性，这些对策是基于威胁分析阶段所做的假设而选择的，现有的测试系统的模块过于复杂，无法接近软件真实的运行环境，无法直接或者不能直接提供进行测试，导致测试效率、效果低下，因此，现需设计一种基于互联网的云测试系统及安全测试方法。

发明内容

[0004] 本发明的目的是为了解决现有技术中存在的缺点，而提出的一种基于互联网的云测试系统及安全测试方法。

[0005] 为了实现上述目的，本发明采用了如下技术方案：

[0006] 一种基于互联网的云测试系统，包括用户、权限管理模块、测试对象选择模块、日志记录模块，应用程序安全测试模块、Web应用安全测试模块、安全性测试评估模块，所述应用程序安全测试模块包括反向安全性测试模块、正向安全性测试模块。

[0007] 优选地，所述反向安全性测试模块包括缺陷威胁模型建立模块、入侵点扫描模块、入侵点矩阵验证测试模块。

[0008] 优选地，所述正向安全性测试模块包括测试空间标识模块、设计空间精确定义模块、安全隐患标识模块、入侵点矩阵建立验证模块。

[0009] 优选地，所述Web应用安全测试模块包括SQL漏洞测试模块、XSS脚本测试模块、CSRF 请求测试模块、文件上传漏洞测试模块、URL跳转漏洞测试模块。

[0010] 一种基于互联网的云测试系统的安全测试方法，包括以下步骤：

[0011] S1，登录系统；

[0012] S2，选择测试对象；

[0013] S3，根据不同对象进行对应的安全测试，包括应用程序安全测试和Web应用安全性测试；

[0014] S4，安全性测试评估。

[0015] 优选地，所述S3中应用程序安全性测试包括反向安全性测试和正向安全性测试，所述反向安全性测试包括如下步骤：

[0016] S1，建立缺陷威胁模型：建立缺陷威胁模型主要是从已知的安全漏洞入手，检查软件中是否存在已知的漏洞，建立威胁模型时，需要先确定软件牵涉到哪些专业领域，再根据各个专业领域所遇到的网络攻击手段来进行建模；

[0017] S2，寻找和扫描入侵点：检查威胁模型里的哪些缺陷可能在本软件中发生，再将可能发生的威胁纳入入侵点矩阵进行管理，如果有成熟的漏洞扫描工具，那么直接使用漏洞扫描工具进行扫描，然后将发现的可疑问题纳入入侵点矩阵进行管理；

[0018] S3，入侵矩阵的验证测试：创建好入侵矩阵后，就可以针对入侵矩阵的具体条目设计对应的测试用例，然后进行测试验证；

[0019] 所述正向安全性测试包括如下步骤：

[0020] S1，标识测试空间：对测试空间的所有的可变数据进行标识，重点对外部输入层进行标识，例如，需求分析、概要设计、详细设计、编码这几个阶段都要对测试空间进行标识，并建立测试空间跟踪矩阵；

[0021] S2，精确定义设计空间：重点审查需求中对设计空间是否有明确定义，和需求牵涉到的数据是否都标识出了它的合法取值范围，在这个步骤中，要严格按照安全性原则来对设计空间做精确的定义；

[0022] S3，标识安全隐患：根据步骤S1、S2中找出的测试空间和设计空间以及它们之间的转换规则，标识出哪些测试空间和哪些转换规则可能存在安全隐患，例如,测试空间愈复杂，即测试空间划分越复杂或可变数据组合关系越多也越不安全，还有转换规则愈复杂，则出问题的可能性也愈大，这些都属于安全隐患；

[0023] S4，建立和验证入侵矩阵：安全隐患标识完成后，根据标识出来的安全隐患建立入侵矩阵，列出潜在安全隐患，标识出存在潜在安全隐患的可变数据，和标识出安全隐患的等级。

[0024] 优选地，所述S3中Web应用安全性测试包括以下步骤：

[0025] S1，SQL注入测试：在需要进行查询的页面，输入正确查询条件and 1＝1等简单sql语句，查看应答结果，如与输入正确查询条件返回结果一致，表明应用程序对用户输入未进行过滤，可以初步判断此处存在SQL注入漏洞；

[0026] S2，XSS跨站脚本攻击测试：在数据输入界面，输入：，保存成功后如果弹出对话框，表明此处存在一个XSS漏洞，或把url请求中参数改为，如果页面弹出对话框，表明此处存在一个XSS漏洞；

[0027] S3，CSRF跨站伪造请求攻击测试：同个浏览器打开两个页面，一个页面权限失效后，另一个页面是否可操作成功，如果仍然能操作成功即存在风险，或使用工具发送请求，在http请求头中不加入referer字段，检验返回消息的应答，应该重新定位到错误界面或者登录界面；

[0028] S4，文件上传漏洞测试：对上传的文件类型、大小等进行严格校验，禁止上传恶意代码的文件，对相关目录的执行权限进行校验，可以通过浏览器访问Web服务器上的所有目录，检查是否返回目录结构，如果显示的是目录结构，则可能存在安全问题；

[0029] S5，URL跳转漏洞测试：使用抓包工具抓取请求，抓取302的url，修改目标地址，查看是否能跳转。

[0030] 本发明的有益效果：

[0031] 通过设置可为安全测试提供多种多样的测试环境，降低测试环境的获取和维护成本，并且这些环境更加接近软件真实的运行环境，提高资源利用率。附图说明

[0032] 图1为本发明提出的一种基于互联网的云测试系统的结构框图。

具体实施方式

[0033] 下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。

[0034] 参照图1，一种基于互联网的云测试系统，包括用户、权限管理模块、测试对象选择模块、日志记录模块，应用程序安全测试模块、Web应用安全测试模块、安全性测试评估模块，应用程序安全测试模块包括反向安全性测试模块、正向安全性测试模块。

[0035] 具体的，反向安全性测试模块包括缺陷威胁模型建立模块、入侵点扫描模块、入侵点矩阵验证测试模块。

[0036] 具体的，正向安全性测试模块包括测试空间标识模块、设计空间精确定义模块、安全隐患标识模块、入侵点矩阵建立验证模块。

[0037] 具体的，Web应用安全测试模块包括SQL漏洞测试模块、XSS脚本测试模块、CSRF请求测试模块、文件上传漏洞测试模块、URL跳转漏洞测试模块。

[0038] 一种基于互联网的云测试系统的安全测试方法，包括以下步骤：

[0039] S1，登录系统；

[0040] S2，选择测试对象；

[0041] S3，根据不同对象进行对应的安全测试，包括应用程序安全测试和Web应用安全性测试；

[0042] S4，安全性测试评估。

[0043] 具体的，S3中应用程序安全性测试包括反向安全性测试和正向安全性测试，反向安全性测试包括如下步骤：

[0044] S1，建立缺陷威胁模型：建立缺陷威胁模型主要是从已知的安全漏洞入手，检查软件中是否存在已知的漏洞，建立威胁模型时，需要先确定软件牵涉到哪些专业领域，再根据各个专业领域所遇到的网络攻击手段来进行建模，主要网络攻击手段有端口扫描攻击、病毒攻击、缓冲区溢出攻击、电子邮件攻击等；

[0045] S2，寻找和扫描入侵点：检查威胁模型里的哪些缺陷可能在本软件中发生，再将可能发生的威胁纳入入侵点矩阵进行管理，如果有成熟的漏洞扫描工具，那么直接使用漏洞扫描工具进行扫描，然后将发现的可疑问题纳入入侵点矩阵进行管理；

[0046] S3，入侵矩阵的验证测试：创建好入侵矩阵后，就可以针对入侵矩阵的具体条目设计对应的测试用例，然后进行测试验证；

[0047] 正向安全性测试包括如下步骤：

[0048] S1，标识测试空间：对测试空间的所有的可变数据进行标识，包括随时间变化的数据，例如用户从界面输入的数据，软件在不同的空间运行而导致的数据变化，例如程序需要读取硬件装置，随不同机器的硬件配置不同，这种变化是由空间的不同造成，例如网卡地址，可变数据包括在数量、取值上的变化有修改、增加、减少形式，重点对外部输入层进行标识，例如，需求分析、概要设计、详细设计、编码这几个阶段都要对测试空间进行标识，并运用R语言建立测试空间跟踪矩阵，R语言是一套完整的数据处理、计算和制图软件系统。其功能包括：数据存储和处理系统；数组运算工具(其向量、矩阵运算方面功能尤其强大)；完整连贯的统计分析工具；优秀的统计制图功能；简便而强大的编程语言：可操纵数据的输入和输出，可实现分支、循环，用户可自定义功能；

[0049] S2，精确定义设计空间：重点审查需求中对设计空间是否有明确定义，和需求牵涉到的数据是否都标识出了它的合法取值范围，在这个步骤中，要严格按照安全性原则来对设计空间做精确的定义；

[0050] S3，标识安全隐患：根据步骤S1、S2中找出的测试空间和设计空间以及它们之间的转换规则，标识出哪些测试空间和哪些转换规则可能存在安全隐患，例如,测试空间愈复杂，即测试空间划分越复杂或可变数据组合关系越多也越不安全，还有转换规则愈复杂，则出问题的可能性也愈大，这些都属于安全隐患；

[0051] S4，建立和验证入侵矩阵：安全隐患标识完成后，根据标识出来的安全隐患建立入侵矩阵，列出潜在安全隐患，标识出存在潜在安全隐患的可变数据，和标识出安全隐患的等级。

[0052] 具体的，S3中Web应用安全性测试包括以下步骤：

[0053] S1，SQL注入测试：在需要进行查询的页面，输入正确查询条件and 1＝1等简单sql语句，查看应答结果，如与输入正确查询条件返回结果一致，表明应用程序对用户输入未进行过滤，可以初步判断此处存在SQL注入漏洞，攻击者通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，从而入侵数据库来执行未授意的任意查询，SQL注入可能造成的危害有：网页、数据被篡改，核心数据被窃取，数据库所在的服务器被攻击，变成傀儡主机；

[0054] S2，XSS跨站脚本攻击测试：在数据输入界面，输入：，保存成功后如果弹出对话框，表明此处存在一个XSS漏洞，或把url请求中参数改为，如果页面弹出对话框，表明此处存在一个XSS漏洞，XSS是通过网页插入恶意脚本，主要用到的技术也是前端的HTML和JavaScript脚本，当用户浏览网页时，实现控制用户浏览器行为的攻击方式；

[0055] S3，CSRF跨站伪造请求攻击测试：同个浏览器打开两个页面，一个页面权限失效后，另一个页面是否可操作成功，如果仍然能操作成功即存在风险，或使用工具发送请求，在http请求头中不加入referer字段，检验返回消息的应答，应该重新定位到错误界面或者登录界面，危险网站B要求访问网站A，发出一个请求。浏览器带着用户的cookie信息访问了网站A，因为网站A不知道是用户自身发出的请求还是危险网站B发出的请求，所以就会处理危险网站B的请求，这样就完成了模拟用户操作的目的，这就是CSRF攻击的基本思想；

[0056] S4，文件上传漏洞测试：对上传的文件类型、大小等进行严格校验，禁止上传恶意代码的文件，对相关目录的执行权限进行校验，可以通过浏览器访问Web服务器上的所有目录，检查是否返回目录结构，如果显示的是目录结构，则可能存在安全问题，文件上传攻击是指攻击者上传了一个可执行文件到服务器上，并执行，这种攻击方式是最直接有效的。上传的文件可以是病毒、木马、恶意脚本或者是webshell等等；

[0057] S5，URL跳转漏洞测试：使用抓包工具抓取请求，抓取302的url，修改目标地址，查看是否能跳转，URL跳转漏洞，即未经验证的重定向漏洞，是指Web程序直接跳转到参数中的URL，或者在页面中引入了任意开发者的URL，将程序引导到不安全的第三方区域，从而导致安全问题。

[0058] 以上，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。

标题	发布/更新时间	阅读量
认证中心的系统或方法	2020-05-08	30
一种基于电子公证技术的跨内外网域电子文书签署方法	2020-05-11	54
界面显示方法及装置	2020-05-11	765
一种基于B/S架构的罕见病信息发布系统	2020-05-12	809
基于无人机航拍的海上巡检监管系统	2020-05-11	281
互联网医疗黄牛风险控制的实现方法	2020-05-08	473
用于WEB内容生成的方法和系统	2020-05-11	758
网页的访问方法和系统以及网页信息的传输方法	2020-05-11	981
基于用户行为的个性化营销方法	2020-05-11	397
一种具备引流作用的商业运营模式	2020-05-08	563

一种基于互联网的云测试系统及安全测试方法

一种基于互联网的云测试系统及安全测试方法

技术领域

背景技术

发明内容

具体实施方式

该功能需要专业版企业版VIP权限，您可以：