一种测试系统中信息的获取方法、装置及测试系统的制作方法
【技术领域】
[0001]本发明涉及网络安全技术领域,尤其涉及一种测试系统中信息的获取方法、装置及测试系统。
【背景技术】
[0002]测试系统在对应用程序进行测试的过程中,可根据不同维度对该应用程序进行测试,如通过静态测试或通过动态测试等。其中,静态测试不实际运行该应用程序,仅检测该应用程序现存的程序代码、界面或文档中的漏洞。举例说明,静态测试通过对应用程序的安装包的自身属性进行扫描,若该安装包配置了允许备份(英文mllowBackup)的属性,则可通过静态测试检测出该安装包存在导致备份隐私泄露的漏洞,若该安装包配置了运行信任所有的目标主机的属性,则可通过静态测试检测出可能引起中间人攻击的漏洞。也可对该应用程序执行动态测试,即实际运行该应用程序,模拟输入相应的测试数据,通过监测获取在此过程中应用程序所产生的请求,并通过对获取的请求进行测试,以判断该请求是否产生预期外的响应,若产生预期外的响应,则表明存在漏洞。
[0003]然而,由于当前的测试系统仅能够通过静态测试检测应用程序安装包的网络属性中的漏洞,而无法检测到应用程序在模拟运行时向网络发送的动态请求包,从而无法动态测试应用程序与网络的交互漏洞,导致应用程序与网络的交互测试不完整,该应用程序存在运行隐患。
【发明内容】
[0004]本发明实施例提供了一种测试系统中信息的获取方法、装置及测试系统。能够更加深度的挖掘该应用程序的网络交互部分的漏洞。
[0005]本发明的实施例第一方面提供了一种测试系统中信息的获取方法,该方法可包括:
[0006]在虚拟机系统上加载应用程序后,获取所述应用程序包含的用户界面中的网络请求控件;
[0007]将按照所述网络请求控件的类型模拟出的输入信息输入至所述网络请求控件中;
[0008]当所述应用程序向局域网内的预设的代理服务器发送所述网络请求控件产生的第一网络请求包后,接收所述代理服务器发送的反馈信息,所述反馈信息表示所述代理服务器已获取到所述第一网络请求包。
[0009]作为可选的实施例,还包括:
[0010]解析所述应用程序的安装包;
[0011]获取所述安装包中的反汇编文件;
[0012]从所述反汇编文件中提取第二网络请求包,所述第二网络请求包用于请求所述应用程序的更新版本。
[0013]作为可选的实施例,所述从所述反汇编文件中提取第二网络请求包之后还包括:
[0014]检测所述第二网络请求包中是否存在包含预设关键字的硬编辑信息;
[0015]若检测到存在所述包含预设关键字的硬编辑信息,则确定所述应用程序的网络请求存在漏洞。
[0016]作为可选的实施例,所述接收所述代理服务器发送的反馈信息之后还包括:
[0017]向所述代理服务器发送用于获取所述第一网络请求包的获取请求;
[0018]接收所述代理服务器发送的所述第一网络请求包。
[0019]作为可选的实施例,还包括:
[0020]根据所述第一网络请求包或所述第二网络请求包构建至少一个模拟网络请求包;
[0021]将所述至少一个模拟网络请求包依次发送至网络服务器,以检测所述应用程序与所述网络服务器的交互中是否存在漏洞。
[0022]作为可选的实施例,所述根据所述第一网络请求包或所述第二网络请求包构建至少一个模拟网络请求包包括:
[0023]判断所述第一网络请求包或所述第二网络请求包是否采用HTTP协议;
[0024]若判断的结果为是,则检测所述第一网络请求包或所述第二网络请求包中包含的请求命令,所述请求命令包括HTTPGET命令或HTTPPOST命令;
[0025]若检测到所述请求命令为HTTPGET命令,则构建至少一个与所述第一网络请求包或所述第二网络请求包中的URL信息类型相同的模拟URL信息,所述至少一个模拟网络请求包中的任意一个请求包包括所述构建的所述至少一个URL信息中的任意一个URL信息。
[0026]作为可选的实施例,所述将所述至少一个模拟网络请求包发送至网络服务器之后还包括:
[0027]若模拟网络请求包用于请求用户信息,当接收到所述网络服务器反馈的与所述应用程序不关联的用户信息时,确定所述应用程序与所述网络服务器的交互存在漏洞;
[0028]若模拟网络请求包用于请求短信验证码,当接收到所述网络服务器针对所有模拟网络请求包反馈的短信验证码时,确定所述应用程序与所述网络服务器的交互存在漏洞。
[0029]本发明的实施例第二方面提供了一种测试系统中信息的获取装置,该装置可包括:
[0030]控件获取模块,用于在虚拟机系统上加载应用程序后,获取所述应用程序包含的用户界面中的网络请求控件;
[0031 ]输入模块,用于将按照所述网络请求控件的类型模拟出的输入信息输入至所述网络请求控件中;
[0032]信息接收模块,用于当所述应用程序向局域网内的预设的代理服务器发送所述网络请求控件产生的第一网络请求包后,接收所述代理服务器发送的反馈信息,所述反馈信息表示所述代理服务器已获取到所述第一网络请求包。
[0033]作为可选的实施例,还包括:
[0034]解析模块,用于解析所述应用程序的安装包;
[0035]文件获取模块,用于获取所述安装包中的反汇编文件;
[0036]提取模块,用于从所述反汇编文件中提取第二网络请求包,所述第二网络请求包用于请求所述应用程序的更新版本。
[0037]作为可选的实施例,还包括:
[0038]信息检测模块,用于在所述提取模块从所述反汇编文件中提取第二网络请求包之后,检测所述第二网络请求包中是否存在包含预设关键字的硬编辑信息;
[0039]第一确定模块,用于若所述信息检测模块检测到存在所述包含预设关键字的硬编辑信息,则确定所述应用程序的网络请求存在漏洞。
[0040]作为可选的实施例,还包括:
[0041]代理发送模块,用于向所述代理服务器发送用于获取所述第一网络请求包的获取请求;
[0042]请求包接收模块,用于接收所述代理服务器发送的所述第一网络请求包。
[0043]作为可选的实施例,还包括:
[0044]构建模块,用于根据所述第一网络请求包或所述第二网络请求包构建至少一个模拟网络请求包;
[0045]网络发送模块,用于将所述至少一个模拟网络请求包依次发送至网络服务器,以检测所述应用程序与所述网络服务器的交互中是否存在漏洞。
[0046]作为可选的实施例,所述构建模块包括:
[0047]判断单元,用于判断所述第一网络请求包或所述第二网络请求包是否采用HTTP协议;
[0048]命令检测单元,用于当所述判断单元判断的结果为是时,则检测所述第一网络请求包或所述第二网络请求包中包含的请求命令,所述请求命令包括HTTPGET命令或HTTPPOST 命令;
[0049]构建单元,用于当所述命令检测单元检测到所述请求命令为HTTPGET命令,则构建至少一个与所述第一网络请求包或所述第二网络请求包中的URL信息类型相同的模拟URL信息,所述至少一个模拟网络请求包中的任意一个请求包包括所述构建的所述至少一个URLfg息中的任意^hURL彳目息。
[0050]作为可选的实施例,在所述网络发送模块将所述至少一个模拟网络请求包发送至网络服务器之后还包括:
[0051 ]第二确定模块,用于若模拟网络请求包用于请求用户信息,当接收到所述网络服务器反馈的与所述应用程序不关联的用户信息时,确定所述应用程序与所述网络服务器的交互存在漏洞;
[0052]第三确定模块,用于若模拟网络请求包用于请求短信验证码,当接收到所述网络服务器针对所有模拟网络请求包反馈的短信验证码时,确定所述应用程序与所述网络服务器的交互存在漏洞。
[0053]本发明的实施例第三方面提供了一种测试系统中信息的获取装置,包括收发器、存储器及处理器,其中所述存储器存储一组程序代码,且所述处理器调用所述存储器中存储的程序代码,用于执行以下操作:
[0054]在虚拟机系统上加载应用程序后,获取所述应用程序包含的用户界面中的网络请求控件;
[0055]将按照所述网络请求控件的类型模拟出的输入信息输入至所述网络请求控件中;
[0056]所述收发器用于当所述应用程序向局域网内的预设的代理服务器发送所述网络请求控件产生的第一网络请求包后,接收所述代理服务器发送的反馈信息,所述反馈信息表示所述代理服务器已获取到所述第一网络请求包。
[0057]本发明的实施例第四方面提供了一种测试系统,包括至少一个测试机和服务器,其中:
[0058]—个测试机用于在虚拟机系统上加载应用程序后,获取所述应用程序包含的用户界面中的网络请求控件,将按照所述网络请求控件的类型模拟出的输入信息输入至所述网络请求控件中,向所述服务器发送所述网络请求控件产生的第一网络请求包;
[0059]所述服务器用于捕获并保存所述测试机发送的所述第一网络请求包,并在获取到所述第一网络请求包后向所述测试机发送反馈信息;
[0060]其中,所述第一网络请求包支持被所述测试系统中的所有测试机下载,用于测试所述应用程序的网络交互是否存在漏洞。
[0061]本发明实施例中,通过在虚拟机系统上加载应用程序,可获取该应用程序包含的用户界面中的网络请求控件,并可根据该网络请求控件的控件类型模拟出对应的输入信息,并将该输入信息输入至网络请求控件中,以触发该网络请求控件产生网络请求,并可通过预设的局域网内的代理服务器截获针对该网络请求控件的第一网络请求包,当接收到该代理服务器发送的反馈信息时,则可确定该应用程序中的第一网络请求包已被获取到,从而可实现动态测试应用程序的网络交互是否存在漏洞,从而能够更加深度的挖掘该应用程序的网络交互部分的漏洞。
【附图说明】
[0062]为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出