专利汇可以提供一种基于互联网的云测试系统及安全测试方法专利检索,专利查询,专利分析的服务。并且本 发明 公开了一种基于互联网的 云 测试系统,包括用户、权限管理模 块 、测试对象选择模块、日志记录模块,应用程序安全测试模块、Web应用安全测试模块、安全性测试评估模块,所述应用程序安全测试模块包括反向安全性测试模块、正向安全性测试模块,所述反向安全性测试模块包括 缺陷 威胁模型建立模块、入侵点扫描模块、入侵点矩阵验证测试模块,所述正向安全性测试模块包括测试空间标识模块、设计空间精确定义模块、安全隐患标识模块、入侵点矩阵建立验证模块;本发明还公开了一种基于互联网的云测试系统的安全测试方法。本发明可对应用程序安全、Web应用安全,针对性进行快速安全测试,提高测试效率,降低测试环境的获取和维护成本。,下面是一种基于互联网的云测试系统及安全测试方法专利的具体信息内容。
1.一种基于互联网的云测试系统,其特征在于,包括用户、权限管理模块、测试对象选择模块、日志记录模块,应用程序安全测试模块、Web应用安全测试模块、安全性测试评估模块,所述应用程序安全测试模块包括反向安全性测试模块、正向安全性测试模块。
2.根据权利要求1所述的一种基于互联网的云测试系统,其特征在于,所述反向安全性测试模块包括缺陷威胁模型建立模块、入侵点扫描模块、入侵点矩阵验证测试模块。
3.根据权利要求1所述的一种基于互联网的云测试系统,其特征在于,所述正向安全性测试模块包括测试空间标识模块、设计空间精确定义模块、安全隐患标识模块、入侵点矩阵建立验证模块。
4.根据权利要求1所述的一种基于互联网的云测试系统,其特征在于,所述Web应用安全测试模块包括SQL漏洞测试模块、XSS脚本测试模块、CSRF请求测试模块、文件上传漏洞测试模块、URL跳转漏洞测试模块。
5.一种基于互联网的云测试系统的安全测试方法,其特征在于,包括以下步骤:
S1,登录系统;
S2,选择测试对象;
S3,根据不同对象进行对应的安全测试,包括应用程序安全测试和Web应用安全性测试;
S4,安全性测试评估。
6.根据权利要求5所述的一种基于互联网的云测试系统的安全测试方法,其特征在于,所述S3中应用程序安全性测试包括反向安全性测试和正向安全性测试,所述反向安全性测试包括如下步骤:
S1,建立缺陷威胁模型:建立缺陷威胁模型主要是从已知的安全漏洞入手,检查软件中是否存在已知的漏洞,建立威胁模型时,需要先确定软件牵涉到哪些专业领域,再根据各个专业领域所遇到的网络攻击手段来进行建模;
S2,寻找和扫描入侵点:检查威胁模型里的哪些缺陷可能在本软件中发生,再将可能发生的威胁纳入入侵点矩阵进行管理,如果有成熟的漏洞扫描工具,那么直接使用漏洞扫描工具进行扫描,然后将发现的可疑问题纳入入侵点矩阵进行管理;
S3,入侵矩阵的验证测试:创建好入侵矩阵后,就可以针对入侵矩阵的具体条目设计对应的测试用例,然后进行测试验证;
所述正向安全性测试包括如下步骤:
S1,标识测试空间:对测试空间的所有的可变数据进行标识,重点对外部输入层进行标识,例如,需求分析、概要设计、详细设计、编码这几个阶段都要对测试空间进行标识,并建立测试空间跟踪矩阵;
S2,精确定义设计空间:重点审查需求中对设计空间是否有明确定义,和需求牵涉到的数据是否都标识出了它的合法取值范围,在这个步骤中,要严格按照安全性原则来对设计空间做精确的定义;
S3,标识安全隐患:根据步骤S1、S2中找出的测试空间和设计空间以及它们之间的转换规则,标识出哪些测试空间和哪些转换规则可能存在安全隐患,例如,测试空间愈复杂,即测试空间划分越复杂或可变数据组合关系越多也越不安全,还有转换规则愈复杂,则出问题的可能性也愈大,这些都属于安全隐患;
S4,建立和验证入侵矩阵:安全隐患标识完成后,根据标识出来的安全隐患建立入侵矩阵,列出潜在安全隐患,标识出存在潜在安全隐患的可变数据,和标识出安全隐患的等级。
7.根据权利要求5所述的一种基于互联网的云测试系统的安全测试方法,其特征在于,所述S3中Web应用安全性测试包括以下步骤:
S1,SQL注入测试:在需要进行查询的页面,输入正确查询条件and 1=1等简单sql语句,查看应答结果,如与输入正确查询条件返回结果一致,表明应用程序对用户输入未进行过滤,可以初步判断此处存在SQL注入漏洞;
S2,XSS跨站脚本攻击测试:在数据输入界面,输入:,保存成功后如果弹出对话框,表明此处存在一个XSS漏洞,或把url请求中参数改为,如果页面弹出对话框,表明此处存在一个XSS漏洞;
S3,CSRF跨站伪造请求攻击测试:同个浏览器打开两个页面,一个页面权限失效后,另一个页面是否可操作成功,如果仍然能操作成功即存在风险,或使用工具发送请求,在http请求头中不加入referer字段,检验返回消息的应答,应该重新定位到错误界面或者登录界面;
S4,文件上传漏洞测试:对上传的文件类型、大小等进行严格校验,禁止上传恶意代码的文件,对相关目录的执行权限进行校验,可以通过浏览器访问Web服务器上的所有目录,检查是否返回目录结构,如果显示的是目录结构,则可能存在安全问题;
S5,URL跳转漏洞测试:使用抓包工具抓取请求,抓取302的url,修改目标地址,查看是否能跳转。
标题 | 发布/更新时间 | 阅读量 |
---|---|---|
认证中心的系统或方法 | 2020-05-08 | 30 |
一种基于电子公证技术的跨内外网域电子文书签署方法 | 2020-05-11 | 54 |
界面显示方法及装置 | 2020-05-11 | 765 |
一种基于B/S架构的罕见病信息发布系统 | 2020-05-12 | 809 |
基于无人机航拍的海上巡检监管系统 | 2020-05-11 | 281 |
互联网医疗黄牛风险控制的实现方法 | 2020-05-08 | 473 |
用于WEB内容生成的方法和系统 | 2020-05-11 | 758 |
网页的访问方法和系统以及网页信息的传输方法 | 2020-05-11 | 981 |
基于用户行为的个性化营销方法 | 2020-05-11 | 397 |
一种具备引流作用的商业运营模式 | 2020-05-08 | 563 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。