一种针对内嵌浏览器软件的自动化模糊测试系统的制作方法

本发明涉及浏览器软件安全研究，具体为一种针对内嵌浏览器软件的自动化模糊测试系统。

背景技术：

1、目前市面上流行的各种客户端软件为了更好的用户体验、业务推广、盈利等因素，很多厂商在其软件中内嵌浏览器的解析引擎，用于用户登录，业务展示，信息集成、广告推送等。

2、不同厂商使用不同的开发包和浏览器解析引擎库，且相对固定，与市面上的主流的专业浏览器如(edge,chrome,firefox等)相比较，版本滞后，对于第三方开发包的安全问题很少有人关注，开发人员的水平参差不齐，很容易存在安全风险。

3、由于内嵌浏览器的软件，绝大多数将访问的网页地址内置在代码中，且访问的路径也是各种各样，因此针对这类软件的安全研究，大多需要模拟一个内部网络，在网络边界进行人为干扰，安全研究人员的工作繁琐且低效，且影响力不大，从而导致现有技术进行浏览器的软件的安全研究时存在需要模拟网络边界，研究环境复杂，以及内置地址多样，需要人工进行配置，从而导致人工效率低下。

技术实现思路

1、针对现有技术的不足，本发明提供了一种针对内嵌浏览器软件的自动化模糊测试系统，解决了上述背景技术中提出的由于内嵌浏览器的软件，绝大多数将访问的网页地址内置在代码中，且访问的路径也是各种各样，因此针对这类软件的安全研究，大多需要模拟一个内部网络，在网络边界进行人为干扰，安全研究人员的工作繁琐且低效，且影响力不大，从而导致现有技术进行浏览器的软件的安全研究时存在需要模拟网络边界，研究环境复杂，以及内置地址多样，需要人工进行配置，从而导致人工效率低下的问题。

2、为实现以上目的，本发明通过以下技术方案予以实现：一种针对内嵌浏览器软件的自动化模糊测试系统，包括云平台部署、泛浏览器软件解析识别、泛浏览器模糊测试与文件管理；

3、所述云平台部署，用于虚拟化环境资源的快速分发部署，并对系统整体的运行进行维护；

4、所述泛浏览器软件解析识别，用于对主流应用软件中浏览器模块进行识别，为泛浏览器软件模糊测试提供支持；

5、所述泛浏览器模糊测试，用于对主流应用软件中内嵌的浏览器软件进行模糊测试；

6、所述文件管理，用于对模糊测试动态更新测试样本和程序组件提供支持。

7、可选的，所述云平台部署包括云平台主机管理、模糊测试模板机生成与模板机部署，所述云平台主机管理，用于对私有云平台中宿主机的管理；用户可以通过使用此云平台主机管理模块动态添加删除管理任意宿主机节点；所述模糊测试模板机生成，用于根据用户选择的原始主机模板和泛浏览器软件库中的不同软件，动态生成能适配用户选择的软件和模糊测试的虚拟环境；所述模板机部署，用于将生成好的模糊测试模板机远程下发部署到用户指定的服务器节点，并运行启动。

8、可选的，所述泛浏览器软件解析识别包括http流量解析及识别与通用dns劫持及重定向，所述通用dns劫持及重定向，用于通过dns劫持，启动并拦截测试目标软件的内置访问地址，并将地址重定向到访问设置的测试网页。

9、可选的，所述泛浏览器模糊测试包括自动化样本生成、人工样本接入与自动化模糊测试，所述自动化样本生成，用于当人工样本测试完毕后，模糊测试程序调用自动化样本生成进行动态生成样本文件；所述自动化模糊测试，用于模糊测试虚拟机内置的模糊测试程序，优先选择人工样本文件进行模糊测试，然后使用新生成的动态生成样本文件对目标软件进行模糊测试；所述人工样本接入，用于在模糊测试虚拟机内置的模糊测试程序，选择人工样本文件进行模糊测试时，将预设置的人工样本进行接入。

10、可选的，所述文件管理包括泛浏览器软件库、崩溃记录与程序及样本更新，所述泛浏览器软件库，用于储存多个浏览器软件的相关数据；所述崩溃记录，用于储存模糊测试程序检测到的程序异常崩溃；所述程序及样本更新，用于对程序和样本文件进行更新。

11、可选的，所述泛浏览器软件库，在模糊测试程序检测到的程序异常崩溃后，记录崩溃现场的日志以及当前产生崩溃的样本文件，然后将数据打包上传到系统平台。

12、可选的，通过所述程序及样本更新在测试前，模糊测试虚拟机内置的监控程序向服务器请求是否有新版本的程序和样本文件需要更新，若有需要更新的，先更新程序或样本，然后重新启动监控程序，若没有需要，则不进行程序或样本的更新。

13、可选的，所述http流量解析及识别可以通过软件请求的数据和设置的测试脚本，可以得知目标软件要访问哪些固定的url地址，目标软件的浏览器解析引擎的类型、版本等，方便用户可以已有的信息调整优化测试样本。

14、本发明提供了一种针对内嵌浏览器软件的自动化模糊测试系统，具备以下有益效果：

15、该针对内嵌浏览器软件的自动化模糊测试系统，通过采用虚拟化技术，能够生成通用虚拟机模板，通过内置的模糊测试框架，自动添加内嵌浏览器软件，模糊测试框架内置dns劫持，利用浏览器重定向技术等，安全研究人员只需要在系统中选择相应的目标软件，就可以自动生成模糊测试环境，对目标软件进行模糊测试，从而使得本系统相较于现有技术而言，能够自动生成目标软件虚拟机测试环境，同时将复杂网络环境集成进系统，研究人员无须额外配置环境，能够对目标软件进行自动化模糊测试，减少人工的操作。

技术特征：

1.一种针对内嵌浏览器软件的自动化模糊测试系统，其特征在于：包括云平台部署(1)、泛浏览器软件解析识别(5)、泛浏览器模糊测试(8)与文件管理(12)；

2.根据权利要求1所述的一种针对内嵌浏览器软件的自动化模糊测试系统，其特征在于：所述云平台部署(1)包括云平台主机管理(2)、模糊测试模板机生成(3)与模板机部署(4)，所述云平台主机管理(2)，用于对私有云平台中宿主机的管理；用户可以通过使用此云平台主机管理(2)模块动态添加删除管理任意宿主机节点；所述模糊测试模板机生成(3)，用于根据用户选择的原始主机模板和泛浏览器软件库(13)中的不同软件，动态生成能适配用户选择的软件和模糊测试的虚拟环境；所述模板机部署(4)，用于将生成好的模糊测试模板机远程下发部署到用户指定的服务器节点，并运行启动。

3.根据权利要求1所述的一种针对内嵌浏览器软件的自动化模糊测试系统，其特征在于：所述泛浏览器软件解析识别(5)包括http流量解析及识别(6)与通用dns劫持及重定向(7)，所述通用dns劫持及重定向(7)，用于通过dns劫持，启动并拦截测试目标软件的内置访问地址，并将地址重定向到访问设置的测试网页。

4.根据权利要求1所述的一种针对内嵌浏览器软件的自动化模糊测试系统，其特征在于：所述泛浏览器模糊测试(8)包括自动化样本生成(9)、人工样本接入(10)与自动化模糊测试(11)，所述自动化样本生成(9)，用于当人工样本测试完毕后，模糊测试程序调用自动化样本生成(9)进行动态生成样本文件；所述自动化模糊测试(11)，用于模糊测试虚拟机内置的模糊测试程序，优先选择人工样本文件进行模糊测试，然后使用新生成的动态生成样本文件对目标软件进行模糊测试；所述人工样本接入(10)，用于在模糊测试虚拟机内置的模糊测试程序，选择人工样本文件进行模糊测试时，将预设置的人工样本进行接入。

5.根据权利要求1所述的一种针对内嵌浏览器软件的自动化模糊测试系统，其特征在于：所述文件管理(12)包括泛浏览器软件库(13)、崩溃记录(14)与程序及样本更新(15)，所述泛浏览器软件库(13)，用于储存多个浏览器软件的相关数据；所述崩溃记录(14)，用于储存模糊测试程序检测到的程序异常崩溃；所述程序及样本更新(15)，用于对程序和样本文件进行更新。

6.根据权利要求5所述的一种针对内嵌浏览器软件的自动化模糊测试系统，其特征在于：所述泛浏览器软件库(13)，在模糊测试程序检测到的程序异常崩溃后，记录崩溃现场的日志以及当前产生崩溃的样本文件，然后将数据打包上传到系统平台。

7.根据权利要求1所述的一种针对内嵌浏览器软件的自动化模糊测试系统，其特征在于：通过所述程序及样本更新(15)在测试前，模糊测试虚拟机内置的监控程序向服务器请求是否有新版本的程序和样本文件需要更新，若有需要更新的，先更新程序或样本，然后重新启动监控程序，若没有需要，则不进行程序或样本的更新。

8.根据权利要求1所述的一种针对内嵌浏览器软件的自动化模糊测试系统，其特征在于：所述http流量解析及识别(6)可以通过软件请求的数据和设置的测试脚本，可以得知目标软件要访问哪些固定的url地址，目标软件的浏览器解析引擎的类型、版本等，方便用户可以已有的信息调整优化测试样本。

技术总结
本发明公开了一种针对内嵌浏览器软件的自动化模糊测试系统，涉及浏览器软件安全研究技术领域，包括云平台部署、泛浏览器软件解析识别、泛浏览器模糊测试与文件管理；该针对内嵌浏览器软件的自动化模糊测试系统，通过采用虚拟化技术，生成通用虚拟机模板，通过内置的模糊测试框架，自动添加内嵌浏览器软件，模糊测试框架内置DNS劫持，利用浏览器重定向技术等，安全研究人员只需要在系统中选择相应的目标软件，可以自动生成模糊测试环境，对目标软件进行模糊测试，本系统相较于现有技术而言，自动生成目标软件虚拟机测试环境，同时将复杂网络环境集成进系统，研究人员无须额外配置环境，能够对目标软件进行自动化模糊测试，减少人工的操作。

技术研发人员：刘昌春
受保护的技术使用者：宁静之盾成都科技有限公司
技术研发日：
技术公布日：2024/3/31