1.一种越权检测方法,其特征在于,包括:
对待检测系统进行预设置,使得进行越权检测时,角色信息可以自动认证;
创建用于进行越权检测的工作空间;
对工作空间进行配置,以便于确定测试范围和越权检测时可以进行角色信息替换;
从redis队列中取得测试流量,流入与所述测试流量匹配的工作空间;其中,所述测试流量为测试人员在点击待测功能时,通过流量传输装置传入服务端在经过身份校验后存入redis服务器中;
使用工作空间,对所述测试流量以不通身份进行重放,得到响应信息;
存储所述响应信息。
2.根据权利要求1所述的越权检测方法,其特征在于,还包括:
|通过websocket或js轮询实时展示所述测试流量在不同角色下的响应信息。
3.根据权利要求2所述的越权检测方法,其特征在于,还包括:
轮询实时监听到所述测试流量在不同角色下的响应信息时,对响应信息完全一样的条目进行高亮标识。
4.根据权利要求1所述的越权检测方法,其特征在于,还包括:
获取第一控制指令;
基于第一获取的控制指令,重放、过滤和/或刷新测试操作中的操作。
5.根据权利要求1所述的越权检测方法,其特征在于,还包括:
获取第二控制指令;
基于第二获取的控制指令,改变控制该工作空间的状态为开始、暂停或完成。
6.根据权利要求1所述的越权检测方法,其特征在于,首页解析包括:
使用chromeheadless去打开这个首页地址;
通过预先配置的账号模拟登录,模拟点击菜单,并记录下来所有流量;
根据流量获取到该工作空间需要测试的范围及一些必要的配置信息。
7.根据权利要求1所述的越权检测方法,其特征在于,所述对待检测系统进行预设置包括:
若待检测系统为接入统一认证的系统,通过管理员账号进行一定的预配置,以便在扫描时完成角色的自动认证。
8.根据权利要求1所述的越权检测方法,其特征在于,实现自动认证的方式包括:
与统一认证系统打通,以使得无需特殊配置即可完成身份认证;
或者,模拟统一认证的登录过程,通过预先获取的账号配置,保证在越权检测时自动完成身份认证;
或者,手动录入待测角色的必要的认证信息。
9.根据权利要求1所述的越权检测方法,其特征在于,包括:
通过预设的redis数据库存放一些全局变量以便实现多机器分布式部署;其中所述变量包括:全局的session信息、用户标识、要扫描的任务队列;
通过mongodb数据库存放关系表;其中,所述关系表包括:工作空间、工作空间配置、测试流量;
通过es数据库存放在测试过程中完整的请求响应信息。
10.一种越权检测辅助装置,其特征在于,包括:
预设模块,用于对待检测系统进行预设置,使得进行越权检测时,进行越权检测的角色信息可以自动认证;
创建模块,用于创建用于进行越权检测的工作空间;
配置模块,用于以便于确定测试范围和越权检测时可以进行角色信息替换;
测试模块,用于从redis队列中取得测试流量,流入与所述测试流量匹配的工作空间;使用工作空间,对所述测试流量以不通身份进行重放,得到响应信息;其中,所述测试流量为测试人员在点击待测功能时,通过流量传输装置传入服务端在经过身份校验后存入redis服务器;
存储模块,用于存储所述响应信息。