(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111437935.2 (22)申请日 2021.11.29 (71)申请人 中国工商银行股份有限公司 地址 100140 北京市西城区复兴门内大街 55号 (72)发明人 范鑫禹　旷亚和　叶红　姜城　 (74)专利代理 机构 中科专利商标代理有限责任 公司 11021 代理人 张琛 (51)Int.Cl. G06F 21/57(2013.01) H04L 9/40(2022.01) (54)发明名称 基于隐藏参数挖掘的测试方法、 装置、 电子 设备和介质 (57)摘要 本公开提供了一种基于隐藏参数挖掘的测 试方法、 装置、 电子设备、 介质和计算机程序产 品。 测试方法和装置可用于信息安全技术领域。 测试方法包括： 确定待测应用的应用地址； 根据 应用地址得到m个响应页面； 将页面标签与隐藏 标签库中的标准标签进行匹配， 将在隐藏标签库 中匹配到标准标签的页面标签作为隐藏标签； 将 隐藏标签下的字段的参数提取为页面隐藏参数； 将页面隐藏参数添加到第一参数报文； 将n类攻 击载荷分别作为页面隐藏参数的值添加到第一 参数报文中， 得到n个第一测试报文； 将每个第一 测试报文发送至待测应用， 得到第一响应报文； 以及根据每个第一响应报文判断页面隐藏参数 是否存在漏洞。 权利要求书2页 说明书12页 附图7页 CN 114117449 A 2022.03.01 CN 114117449 A 1.一种基于隐藏 参数挖掘的测试 方法， 其特 征在于， 包括： 确定待测应用的应用地址； 根据所述应用地址得到m个响应页面， 其中， 每个所述响应页面包括至少一个页面标 签， m为大于等于1的整数； 将所述页面标签与隐藏标签库中的标准标签进行匹配， 将在所述隐藏标签库中匹配到 标准标签的所述页面标签作为隐藏标签； 将所述隐藏标签下的字段的参数提取为页面隐藏 参数； 将所述页面隐藏 参数添加到第一 参数报文； 将n类攻击载荷 分别作为所述页面隐藏参数的值添加到所述第一参数报文中， 得到n个 第一测试报文； 将每个所述第一测试报文发送至所述待测应用， 得到第一响应报文； 以及 根据每个所述第一响应报文判断所述页面隐藏 参数是否存在漏洞。 2.根据权利要求1所述的方法， 其特 征在于， 还 包括： 建立隐藏 参数库， 其中， 所述隐藏 参数库中包括预设隐藏 参数； 将所述预设隐藏 参数添加到所述第二 参数报文； 用n类攻击载荷 分别作为所述预设隐藏参数的值添加到所述第二参数报文中， 得到n个 第二测试报文； 将每个所述第二测试报文发送至所述待测应用， 得到第二响应报文； 以及 根据每个所述第二响应报文判断所述预设隐藏 参数是否存在漏洞。 3.根据权利要求2所述的方法， 其特 征在于， 所述第二 参数报文为所述第一 参数报文。 4.根据权利要求1所述的方法， 其特征在于， 所述根据所述应用地址得到m个响应页面 包括： 通过所述应用地址， 获取 所述待测应用的m个页面链接； 向所述m个页面链接分别发送请求， 得到m个响应页面。 5.根据权利要求4所述的方法， 其特征在于， 所述通过所述应用地址， 获取所述待测应 用的m个页面链接包括： 通过所述应用地址， 获取与所述应用地址对应的所述待测应用的主页面链接； 根据所述主页面链接， 获取与所述主页面链接连接的t个第 一子页面链接， 其中， t为大 于等于0的整数； 根据t个所述第一子页面链接， 获取与每个所述第一子页面链 接连接的si个第二子页面 链接， 其中， si为大于等于 0的整数， i 为大于等于 0且小于等于t的整数； 直至获取到与上一子页面链接连接的最后一条子页面链接； 以及 将所述主页面链接和获取的所有所述子页面链接作为所述m个页面链接 。 6.根据权利要求4所述的方法， 其特征在于， 所述通过所述应用地址， 获取所述待测应 用的m个页面链接包括： 根据所述应用地址， 经 过多次爬虫， 每次获取与上一页面链接连接的页面链接； 设定爬虫次数的阈值， 当爬虫次数 大于等于所述阈值时， 爬虫终止； 以及 将每次爬虫获取到的页面链接相加作为所述m个页面链接 。 7.根据权利要求1 ‑6中任一项所述的方法， 其特征在于， 所述根据每个所述第 一响应报权　利　要　求　书 1/2 页 2 CN 114117449 A 2文判断所述页面隐藏 参数是否存在漏洞包括： 设置漏洞库， 其中， 所述漏洞库中包括与所述 n类攻击载荷分别对应的漏洞； 将所述第一响应报文与所述漏洞库中的所述漏洞匹配； 以及 当匹配到所述漏洞时， 将该漏洞作为与 所述第一响应报文对应的所述页面隐藏参数的 漏洞。 8.一种基于隐藏 参数挖掘的测试装置， 其特 征在于， 包括： 确定模块， 所述确定模块用于确定测试任务， 其中， 所述测试任务包括待测应用的应用 地址； 获取模块， 所述获取模块用于根据所述应用地址得到m个响应页面， 其中， 每个所述响 应页面包括至少一个页面标签， m为大于等于1的整数； 匹配模块， 所述匹配模块用于将所述页面标签与隐藏标签库中的标准标签进行匹配， 将在所述隐藏标签库中匹配到标准标签的所述页面标签作为隐藏标签； 提取模块， 所述 提取模块用于将所述隐藏标签下的字段的参数提取为页面隐藏 参数； 第一添加模块， 所述第一添加模块用于将所述页面隐藏 参数添加到第一 参数报文； 第二添加模块， 所述第二添加模块用于将n类攻击载荷分别作为所述页面 隐藏参数的 值添加到所述第一 参数报文中， 得到n个第一测试报文； 发送模块， 所述发送模块用于将每个所述第一测试报文发送至所述待测应用， 得到第 一响应报文； 以及 判断模块， 所述判断模块用于根据每个所述第 一响应报文判断所述页面隐藏参数是否 存在漏洞。 9.一种电子设备， 其特 征在于， 包括： 一个或多个处 理器； 一个或多个存储器， 用于存储可执行指令， 所述可执行指令在被所述处理器执行时， 实 现根据权利要求1～7中任一项所述的方法。 10.一种计算机可读存储介质， 其特征在于， 所述存储介质上存储有可执行指令， 该指 令被处理器执行时实现根据权利要求1～7中任一项所述的方法。 11.一种计算机程序产品， 其特征在于， 包括计算机程序， 所述计算机程序包括一个或 者多个可执行指 令， 所述可执行指 令被处理器执行时实现根据权利要求 1～7中任一项所述 的方法。权　利　要　求　书 2/2 页 3 CN 114117449 A 3