一种基于SQL注入工具测试加密加签接口的方法与流程

本发明涉及软件安全测试，具体涉及一种基于sql注入工具测试加密加签接口的方法。

背景技术：

1、sql注入是一种攻击方式，通过在字符串中插入恶意代码，然后将该字符串传递到sql server的实例以进行分析和执行。验证一个接口是否存在sql注入比较简单，而要获取数据，扩大权限，则要输入很复杂的sql语句，有时我们还需要对多个接口进行批量测试，这时就需要用自动化工具来帮助我们进行注入了。

2、随着业内对网络安全的重视，部分接口对数据进行加密处理，防止敏感信息泄露，保障用户隐私；部分接口对参数进行签名，防止参数在请求过程中被篡改。加密和加签名增加了接口的安全性，却对sql注入的测试提出了挑战。

技术实现思路

1、本发明的目的在于提供一种基于sql注入工具测试加密加签接口的方法，以期解决背景技术中存在的技术问题。

2、为了实现上述目的，本发明采用以下技术方案：

3、一种基于sql注入工具测试加密加签接口的方法，包括以下步骤：

4、分析接口使用的加解密和签名算法；

5、准备去除签名和加密的接口原始请求报文；

6、编写所涉及的加解密和签名算法的脚本；

7、通过交互式代理修改请求和响应的数据包；

8、设置sql注入工具通过上述交互式代理进行测试。

9、在一些实施例中，所述分析接口使用的加解密和签名算法的方法，包括：

10、通过研发人员提供的接口文档或加密包等资料获得相关算法或代码；通过抓取报文再逆向源码获得相关算法或代码。

11、在一些实施例中，所述准备去除签名和加密的接口原始请求报文，包括：

12、通过研发人员提供的接口文档或其他资料获得相关接口的地址、参数和请求方法等；通过抓包获得接口的地址和请求方法，再解密获得相关参数。

13、在一些实施例中，所述编写所涉及的加解密和签名算法的脚本，通过所述算法或代码编写加密脚本、解密脚本和签名脚本。

14、在一些实施例中，所述通过交互式代理修改请求和响应的数据包，包括选用支持对请求和响应数据进行编辑的代理工具，并通过提供的编辑方法实现对请求数据的加密、签名以及对响应数据进行解密的功能。

15、在一些实施例中，所述设置sql注入工具通过上述交互式代理进行测试，通过选用支持代理的sql注入工具。

16、本发明与现有技术相比具有的有益效果是：

17、通过本发明可使用既有的sql注入工具自动测试加密加签的接口，在不重复造轮子的情况下，增加了测试效率，降低了漏洞遗漏风险。其中的关键点在于将sql注入工具接入交互式代理工具，代理工具修改其传入的请求数据进行加密、签名，再发送到服务器，服务器返回的响应如果也加密了，则由代理工具先解密了再传回给sql注入工具。从而使接口加密加签对sql注入工具透明，工具可针对明文参数进行测试。

技术特征：

1.一种基于sql注入工具测试加密加签接口的方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的一种基于sql注入工具测试加密加签接口的方法，其特征在于：

3.根据权利要求1所述的一种基于sql注入工具测试加密加签接口的方法，其特征在于：

4.根据权利要求2所述的一种基于sql注入工具测试加密加签接口的方法，其特征在于：

5.根据权利要求2所述的一种基于sql注入工具测试加密加签接口的方法，其特征在于：

6.根据权利要求2所述的一种基于sql注入工具测试加密加签接口的方法，其特征在于：

技术总结
本发明公开了一种基于SQL注入工具测试加密加签接口的方法，包括以下步骤：分析接口使用的加解密和签名算法；准备去除签名和加密的接口原始请求报文；编写所涉及的加解密和签名算法的脚本；通过交互式代理修改请求和响应的数据包；设置SQL注入工具通过上述交互式代理进行测试。通过本发明可使用既有的SQL注入工具自动测试加密加签的接口，在不重复造轮子的情况下，增加了测试效率，降低了漏洞遗漏风险。

技术研发人员：张荣芸
受保护的技术使用者：四川启睿克科技有限公司
技术研发日：
技术公布日：2024/2/1