滲透測試表,在以后的滲透測試中,遇到表中存在的數據格式時就可以直接調取存儲的相應的專項滲透策略或者通用滲透策略,或者對已有的專項滲透策略或者通用滲透側略根據需要稍加修改后直接調用,從而提高了滲透測試的數據處理的效率。
[0072]此外,還要定期對滲透策略表進行更新維護,比如根據數據格式出現的頻次的多少重點調整出現頻次高的數據格式對應的滲透策略(專用或者通用),針對一定時間段內不再出現或者不再需要進行篡改的數據格式對應的滲透策略進行刪除操作,以減小滲透策略表所占空間的大小,同時也方便了表的管理,以及提高了對目標滲透策略查詢的效率。
[0073]在一些實施方式中,至少根據所述數據文件的格式確定與之匹配的滲透策略包括:
[0074]根據所述數據文件的格式和滲透要求確定與之匹配的滲透策略,
[0075]其中,所述滲透策略包括通用滲透策略和專項滲透策略,所述通用滲透策略對應于不需要進行完整性驗證的滲透要求,所述專項滲透策略對應于需要進行完整性驗證的滲透要求。
[0076]該實施方式中,通過滲透要求判斷該數據文件在應用運行時是否需要進行完整性驗證,如果不需要的話就為其直接調用通用滲透策略,如果需要驗證完整性就進一步判斷數據文件的格式,再從滲透策略表中調取相應的滲透策略對數據文件進行篡改,保證了對數據文件的滲透測試的有效性,因為,如果某一數據文件要進行除了通用滲透策略進行的滲透測試之外的測試而有為其分配了通用滲透策略,則在進行完整性驗證時應用就直接崩潰或者報錯了,根本不會有機會繼續進行后續專項滲透策略對其進行的篡改后的滲透測試。
[0077]如圖3所示,在一些實施方式中,至少根據所述數據文件的格式確定與之匹配的滲透策略包括:
[0078]S31、當所述數據文件為具有多個數據格式的多個數據文件時,利用黑名單對所述多個數據文件進行篩選,確定需要進行滲透測試的數據文件,其中,所述黑名單中存儲有不需要進行滲透測試的數據文件的格式;
[0079]S32、至少根據所述需要進行滲透測試的數據文件的格式確定與之匹配的滲透策略。
[0080]本實施方式中,在確定滲透策略之前首先通過黑名單對所有的數據文件進行了篩選,去除掉了部分不需要進行篡改的數據文件,從而減輕了整個滲透測試的負擔,減少了滲透測試的數據處理量,使得滲透測試更具有針對性,因為,應用開發者可以根據歷史的經驗或者實際需求選擇最容易出現漏洞或者缺陷或者最容易造成軟件不穩定性的數據文件進行測試。本實施方式通過黑名單的排他方式更加準確的對數據文件進行了篩選,以進行更加準確高效的滲透測試。
[0081]在一些實施方式中,在所述監控所述被篡改數據文件的應用啟動后的運行狀況后還包括根據監測結果生成滲透測試報告,所述滲透測試報告中至少包含:執行滲透測試所針對的數據文件、數據文件的格式、相應于所述數據文件的滲透策略、應用運行狀況,本實施方式中通過針對滲透測試結果生成相應的報告,記錄測試過程中應用出現崩潰情況時被篡改的數據文件的格式以及位置,從而為后續開發人員對應用進一步的優化提供了參考依據。
[0082]在一些實施方式中,獲取待測試的應用的所有數據文件之前還包括:對所述應用進行UI遍歷,以生成完整的數據文件。
[0083]這里對應用進行UI遍歷指的是:以對衛士6.5版本進行測試或者清理大師進行測試為例,就是對衛士6.5或者清理大師的所有的功能進行啟動一遍,以在其安裝目錄下生成完整的數據文件,以避免新裝的應用其目錄下的數據文件不完整,而導致的滲透測試的失敗。
[0084]本發明實施方式中可以通過硬件處理器(hardware processor)來實現相關功能模塊。
[0085]需要說明的是,對于前述的各方法實施例,為了簡單描述,故將其都表述為一系列的動作合并,但是本領域技術人員應該知悉,本發明并不受所描述的動作順序的限制,因為依據本發明,某些步驟可以采用其他順序或者同時進行。其次,本領域技術人員也應該知悉,說明書中所描述的實施例均屬于優選實施例,所涉及的動作和模塊并不一定是本發明所必須的。
[0086]在上述實施例中,對各個實施例的描述都各有側重,某個實施例中沒有詳述的部分,可以參見其他實施例的相關描述。
[0087]如圖4所示,另一方面,本發明相應提供的一種應用的測試系統,其包括:
[0088]數據文件格式獲取模塊,用于獲取待測試的應用的數據文件的格式;
[0089]滲透策略確定模塊,用于至少根據所述數據文件的格式確定與之匹配的滲透策略;
[0090]滲透策略執行模塊,用于根據所述滲透策略對所述應用的數據文件進行篡改;
[0091]運行狀況監測模塊,用于監控所述被篡改數據文件的應用啟動后的運行狀況。
[0092]通過滲透測試模擬惡意黑客的攻擊行為來針對應用軟件的不同格式的數據文件采用不同的滲透策略對相應格式的數據文件進行篡改,以發現應用軟件的任何可能存在的弱點、技術缺陷或漏洞,以供應用軟件開發者根據發現的上述問題對應用軟件進行分析調試,最終增強應用軟件的穩定性與容錯能力,提升用戶體驗。
[0093]如圖5所示,在一些實施方式中,還包括滲透策略表生成模塊,用于在獲取待測試的應用的數據文件的格式之前生成滲透策略表,所述滲透策略表生成模塊包括:
[0094]數據文件格式統計單元,用于統計多種應用的數據文件的格式;
[0095]滲透策略配置單元,用于確定所述多種應用的數據文件的格式適合的有效滲透策略;
[0096]表格生成單元,用于利用統計的所述格式和所述有效滲透策略制定滲透策略表,所述滲透策略表至少存儲有各種數據文件的格式以及與數據文件的格式相對應的滲透策略。
[0097]在一些實施方式中,所述滲透策略確定模塊,用于根據所述數據文件的格式和滲透要求確定與之匹配的滲透策略,
[0098]其中,所述滲透策略包括通用滲透策略和專項滲透策略,所述通用滲透策略對應于不需要進行完整性驗證的滲透要求,所述專項滲透策略對應于需要進行完整性驗證的滲透要求。
[0099]如圖6所示,在一些實施方式中,滲透策略確定模塊包括:
[0100]數據文件篩選單元,用于當所述數據文件為具有多個數據格式的多個數據文件時,利用黑名單對所述多個數據文件進行篩選,確定需要進行滲透測試的數據文件,其中,所述黑名單中存儲有不需要進行滲透測試的數據文件的格式;
[0101]滲透策略確定單元,用于至少根據所述需要進行滲透測試的數據文件的格式確定與之匹配的滲透策略。
[0102]本實施方式中,在確定滲透策略之前首先通過黑名單篩選模塊對所有的數據文件進行了篩選,去除掉了部分不需要進行篡改的數據文件,從而減輕了整個滲透測試的負擔,減少了滲透測試的數據處理量,使得滲透測試更具有針對性,因為,應用開發者可以根據歷史的經驗或者實際需求選擇最容易出現漏洞或者缺陷或者最容易造成軟件不穩定性的數據文件進行測試。本實施方式通過黑名單的排他方式更加準確的對數據文件進行了篩選,以進行更加準確高效的滲透測試。
[0103]在一些實施方式中,本發明的測試系統還包括滲透測試報告模塊,用于根據所述運行狀況監測模塊的監測結果生成滲透測試報告,所述滲透測試報告中至少包含:執行滲透測試所針對的數據文件、數據文件的格式、相應于所述數據文件的滲透策略、應用運行狀況。
[0104]本實施方式中通過針對滲透測試結果生成相應的報告,記錄測試過程中應用出現崩潰情況時被篡改的數據文件的格式以及位置,從而為后續開發人員對應用進一步的優化提供了參考依據。<