系统测试过程中的安全扫描方法及测试服务器的制造方法
【技术领域】
[0001]本发明涉及互联网领域,尤其涉及一种系统测试过程中的安全扫描方法及测试服务器。
【背景技术】
[0002]目前的WEB安全扫描所使用的扫描资源是通过爬虫爬行的方式进行获取,然后对所述扫描资源进行检测。由于受爬虫技术的限制,但是导致所获取的资源非常有限,因此将出现漏扫的现象。
【发明内容】
[0003]本发明实施例的主要目的是提供一种系统测试过程中的安全扫描方法及测试服务器,旨在提高了安全扫描的扫描资源获取的效率。
[0004]为达到以上目的,本发明实施例提供了一种测试服务器,包括:
[0005]包括网络接口、扫描资源获取模块、存储器,其中:
[0006]所述网络接口用于与所述终端进行通讯,接收终端发送的数据处理请求包;
[0007]所述扫描资源获取模块用于在数据处理请求包是终端测试过程中发起的,获取所述数据处理请求包,并对所述数据处理请求包进行解析,获得扫描资源;
[0008]所述存储器用于存储所述扫描资源,供安全扫描调用。
[0009]对应地,本发明实施例还提供了一种系统测试过程中的安全扫描方法,包括:
[0010]测试服务器接收终端发送的数据处理请求包;
[0011]当所述数据处理请求包是终端测试过程中发起的,测试服务器将获取所述数据处理请求包;
[0012]测试服务器对所述数据处理请求包进行解析处理,获得安全扫描的扫描资源;
[0013]测试服务器将所述安全扫描的扫描资源进行存储,以供安全扫描调用。
[0014]由于扫描资源获取模块设置在测试服务器上,从而使得在终端进行系统测试时,就可以在测试服务器上实现HTTP请求包的自动抓取,以作为安全扫描的扫描资源。因此,使得终端在测试的时候,用户不需要进行人工干预即可完成安全扫描的扫描资源的自动获取,不但提高了扫描资源获取的效率,而且还避免现有技术中扫描资源获取时出现的漏扫的现象。
【附图说明】
[0015]图1是本发明终端进行系统测试时的通讯示意图;
[0016]图2是图1中测试服务器一实施例的功能模块示意图;
[0017]图3是图2中扫描资源获取模块的功能模块示意图;
[0018]图4是图1中测试服务器另一实施例的功能模块示意图;
[0019]图5是图4中扫描模块的功能模块示意图;
[0020]图6是本发明系统测试过程中的安全扫描方法一实施例的流程示意图;
[0021]图7是本发明系统测试过程中的安全扫描方法另一实施例的流程示意图;
[0022]图8是图7中测试服务器对扫描资源进行扫描的具体流程示意图。
[0023]本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
【具体实施方式】
[0024]以下结合说明书附图及具体实施例进一步说明本发明的技术方案。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0025]本发明将系统测试与安全扫描进行结合,加强了 WEB应用的安全性。系统测是基于系统整体需求说明书的黑盒类测试,应覆盖系统所有联合的部件。系统测试是针对整个产品系统进行的测试,目的是验证系统是否满足了需求规格的定义,找出与需求规格不相符合或与之矛盾的地方。由于本发明主要应用于WEB应用系统,因此针对该WEB应用系统的测试可包括:功能测试、性能测试、界面测试、配置测试、兼容性测试、可用性测试、文档测试。如图1所示,该WEB应用系统的测试过程为:安装有WEB应用系统的终端100发送HTTP请求包至测试服务器200,服务器根据预置的测试规则对所述HTTP请求包进行测试,测试完成后,将返回测试响应至终端100。
[0026]如图2所示,本发明实施例的测试服务器200包括:测试模块10、扫描资源获取模块20、存储器30、网络接口 40。其中,存储器30包括配置数据库及资源数据库。该配置数据库中存储有供测试模块10进行测试的测试规则、供扫描资源获取模块进行资源获取的获取规则等等。资源数据库用于存储所述扫描资源获取模块20所获取的资源。测试模块10与网络接口 40连接,该网络接口 40用于与终端100进行通讯,而且网络接口 40与终端100可以为无线通讯或有线通讯。接收终端100在测试过程中向测试服务器200发送的HTTP请求包,测试模块10根据存储器30提供的测试规则对所述HTTP请求包进行测试,并产生测试结果,通过网络接口 40将测试结果返回至终端100。在测试模块10进行测试的同时,扫描资源获取模块20则将获取网络接口 40所接收的HTTP请求包,并对所述HTTP请求包进行解析,获得相应的HTTP资源后,将其存储在存储器30的资源数据库中。
[0027]上述扫描资源获取模块20所获取的资源,将用于WEB安全扫描。WEB安全扫描指的是在WEB应用的研发过程中,使用扫描器对目标应用的安全脆弱性进行检测,发现可利用的WEB安全漏洞的一种自动化安全检测行为。由于本发明实施例在终端系统在进行测试时,通过服务器对终端系统测试时发起的HTTP请求包进行抓取,并将所抓取的HTTP请求包进行处理后,获得供WEB安全扫描的扫描资源,从而使得安全扫描的扫描资源获取更加精准,进而加强了 WEB应用的安全性。
[0028]进一步地,上述配置数据库中所存储的配置数据可以为测试服务器200默认存储的,也可以通过配置模块50进行灵活配置。例如,该测试服务器200还提供相应的用户接口,可以连接相应的输入设备,供用户进行相应数据的配置。
[0029]进一步地,参照图3,上述扫描资源获取模块20包括:包收集单元21、包过滤模块22和包数据提取模块23。其中包收集单元21主要用于获取网络接口 40接收到的HTTP请求包,该HTTP请求包是终端100在测试过程中发起的。为了避免包收集单元21的超负荷,本发明实施例可以在配置数据库中,设置包收集单元21的运行规则,例如设置包收集单元21获取某一天中的某时间段内的HTTP请求包,或者获取某些终端的所有HTTP请求包等等。为了避免包数据提取模块23的超负荷,本发明实施例通过包过滤模块22对包收集单元21所获取的HTTP请求包进行过滤,以过滤掉一些必须要进行安全扫描的HTTP请求包。例如,请求图片等资源的HTTP请求。包过滤模块22所依据的过滤规则也可以从配置数据中获得。最后,包数据提取模块23对通过包过滤模块22进行过滤的HTTP请求包进行解析,以获得安全扫描所需要的扫描资源。例如,HTTP请求方式(常见的请求方式为GET或者POST)、URL地址、HOST信息以及请求正文等等。
[0030]由于扫描资源获取模块20设置在测试服务器200上,从而使得在终端100进行系统测试时,就可以在测试服务器200上实现HTTP请求包的自动抓取,以作为安全扫描的扫描资源。因此,使得终端在测试的时候,用户不需要进行人工干预即可完成安全扫描的扫描资源的自动获取,不但提高了扫描资源获取的效率,而且还避免现有技术中扫描资源获取时出现的漏扫的现象。
[0031]进一步地,本发明还提供了一种测试服务器的另一实施例。如图4所示,该实施例中的测试服务器还包括扫描模块60。该扫描模块60用于从存储器30中的资源数据库中获取扫描资源,并对所述扫描资源进行扫描。
[0032]由于目前常规的产品研发流程中,安全审计与系统测试是相互独立的,而系统测试是研发流程必经的一步,在该过程中系统测试人员会对所有的功能进行覆盖,而安全审计人员在对产品进行审计时为了提高扫描覆盖度,也需要遍历一遍被评测系统的所有功能,然后再提交扫描请求,如此将造成重复的工作量,效率低下。而本发明实施例则实现了安全扫描与系统测试的无缝结合,使得终端100进行系统测试时,系统测试人员在毫无感知的情况,后台的服务器就实现了扫描资源的获取及扫描资源的安全扫描,因此省去了重复的工作,提高了审计的工作效率。另外,系统测试人员要比安全审计人员更加的熟悉被测产品,所以覆盖的功能会更加的全面,从而使得获取的扫描资源更准确,扫描覆盖会更加的充分。
[0033]进一步地,参照图5,上述扫描模块60包括包重组单元61、包传输模块62以及包分析模块63。所述包重组单元61将从存储器30中的资源数据库中获取扫描资源,然后从存储器30中的配置数据库中获得读取的规则,并根据所述读取的规则将所述扫描资源重新组合形成一个新的HTTP请求包,例如对HTTP请求包中的GET、POST和COOKIE进行重组。然后包传输模块62将重组好的HTTP请求包发送至目标服务器,并接收目标服务器返回的HTTP应答包,将接收到的HTTP应答包发送至包分析模块63。包分析模块63则从存储器30的配置数据库中获取扫描规则,并根据所述扫描规则,对HTTP应答包进行验证,当所述HTTP应答包符合扫描规则时,则判断其存在相应的漏洞。扫描模块60在对扫描资源进行扫描后,则会产生相应的扫描结果。该扫描结果可以存储在存储器30中,以供安全人员提取。或者也可以在服务器中配置相应的发送信息,在产生扫描结果后,则自动将该扫描结果发送至目的地。
[0034]可以理解的是,上述测试服务器200还可以设置相应的调用接口,通过该调用接口可以调用测试服务器200外部的安全扫描工具,对测试服务器200上所获得的扫描资源进行扫描。
[0035]进一步地,本发明还提供了一种系统测试过程中的安全扫描方法。参照图6,该实施例的系统测试过程中的安全扫描方法包括以下步骤:
[0036]步骤S110、测试服务器接收终端发