(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114244823A(43)申请公布日2022.03.25(21)申请号202111275076.1(22)申请日2021.10.29(71)申请人北京中安星云软件技术有限公司地址100000北京市海淀区创业路8号5号楼4层5-6-401(72)发明人唐更新王小伟宋辉赵卫国(74)专利代理机构成都鱼爪智云知识产权代理有限公司51308代理人衡小璐(51)Int.Cl.H04L67/02(2022.01)H04L67/60(2022.01)H04L9/40(2022.01)G06F21/57(2013.01)权利要求书2页说明书10页附图2页(54)发明名称一种基于Http请求自动变形的渗透测试方法及系统(57)摘要本发明公开了一种基于Http请求自动变形的渗透测试方法，包括以下步骤：采集原始API数据；根据预置的自动变形规则将原始API数据进行组装，以得到目标API请求；基于目标API请求通过HttpClint5对待测试系统进行渗透测试，生成渗透测试结果；对渗透测试结果进行解析，以得到解析结果数据，并根据预置的用户配置规则对解析结果数据进行汇总，生成渗透报告。本发明还公开了一种基于Http请求自动变形的渗透测试系统。本发明涉及系统测试技术领域。本发明可实现快速全面的渗透测试。CN114244823ACN114244823A权利要求书1/2页1.一种基于Http请求自动变形的渗透测试方法，其特征在于，包括以下步骤：采集原始API数据；根据预置的自动变形规则将原始API数据进行组装，以得到目标API请求；基于目标API请求通过HttpClint5对待测试系统进行渗透测试，生成渗透测试结果；对渗透测试结果进行解析，以得到解析结果数据，并根据预置的用户配置规则对解析结果数据进行汇总，生成渗透报告。2.根据权利要求1所述的一种基于Http请求自动变形的渗透测试方法，其特征在于，所述采集原始API数据的方法包括以下步骤：通过交换机端口镜像、Nginx和/或web端插件采集数据流量；将数据流量进行解析，以得到原始API数据。3.根据权利要求1所述的一种基于Http请求自动变形的渗透测试方法，其特征在于，所述根据预置的自动变形规则将原始API数据进行组装，以得到目标API请求的方法包括以下步骤：录入并根据不同类型的请求设定对应的自动变形规则；根据原始API数据的类型提取并根据对应的自动变形规则将原始API数据进行组装，以得到目标API请求。4.根据权利要求1所述的一种基于Http请求自动变形的渗透测试方法，其特征在于，还包括以下步骤：将渗透报告采用一种或多种信息传输方式发送给测试监测人员。5.一种基于Http请求自动变形的渗透测试系统，其特征在于，包括数据采集模块、请求组装模块、渗透测试模块以及报告生成模块，其中：数据采集模块，用于采集原始API数据；请求组装模块，用于根据预置的自动变形规则将原始API数据进行组装，以得到目标API请求；渗透测试模块，用于基于目标API请求通过HttpClint5对待测试系统进行渗透测试，生成渗透测试结果；报告生成模块，用于对渗透测试结果进行解析，以得到解析结果数据，并根据预置的用户配置规则对解析结果数据进行汇总，生成渗透报告。6.根据权利要求5所述的一种基于Http请求自动变形的渗透测试系统，其特征在于，所述数据采集模块包括流量采集子模块和流量解析子模块，其中：流量采集子模块，用于通过交换机端口镜像、Nginx和/或web端插件采集数据流量；流量解析子模块，用于将数据流量进行解析，以得到原始API数据。7.根据权利要求5所述的一种基于Http请求自动变形的渗透测试系统，其特征在于，所述请求组装模块包括规则设定子模块和组装子模块，其中：规则设定子模块，用于录入并根据不同类型的请求设定对应的自动变形规则；组装子模块，用于根据原始API数据的类型提取并根据对应的自动变形规则将原始API数据进行组装，以得到目标API请求。8.根据权利要求5所述的一种基于Http请求自动变形的渗透测试系统，其特征在于，还包括通知模块，用于将渗透报告采用一种或多种信息传输方式发送给测试监测人员。2CN114244823A权利要求书2/2页9.一种电子设备，其特征在于，包括：存储器，用于存储一个或多个程序；处理器；当所述一个或多个程序被所述处理器执行时，实现如权利要求1‑4中任一项所述的方法。10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如权利要求1‑4中任一项所述的方法。3CN114244823A说明书1/10页一种基于Http请求自动变形的渗透测试方法及系统技术领域[0001]本发明涉及系统测试技术领域，具体