本發(fā)明涉及計(jì)算機(jī)領(lǐng)域，尤其涉及一種測(cè)試漏洞的方法和系統(tǒng)。

背景技術(shù)：

隨著網(wǎng)絡(luò)直播的迅速發(fā)展和普及，網(wǎng)絡(luò)直播開始逐漸成為黑客攻擊的對(duì)象。為了獲取經(jīng)濟(jì)利益，黑客往往會(huì)對(duì)涉及金錢交易漏洞進(jìn)行攻擊，例如充值、贈(zèng)送虛擬禮物和用戶等級(jí)等。由于客戶端能夠通過安全軟件對(duì)黑客攻擊進(jìn)行防御攔截，所以一些黑客繞過安全軟件監(jiān)測(cè)與服務(wù)器進(jìn)行通訊，攻擊服務(wù)器，導(dǎo)致網(wǎng)絡(luò)直播平臺(tái)受到損失。

可見，為了防御服務(wù)器遭到攻擊，就需要對(duì)服務(wù)器漏洞進(jìn)行測(cè)試。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明實(shí)施例提供了一種測(cè)試漏洞的方法和系統(tǒng)，用于實(shí)現(xiàn)測(cè)試被測(cè)試服務(wù)器漏洞的技術(shù)效果。

第一方面，本發(fā)明提供了一種測(cè)試漏洞的方法，包括：

通過被測(cè)試服務(wù)器向一測(cè)試客戶端設(shè)備發(fā)送第一用戶信息，所述測(cè)試客戶端設(shè)備將所述第一用戶信息修改為第二用戶信息，并基于所述第二用戶信息向所述被測(cè)試服務(wù)器發(fā)送請(qǐng)求，以使所述被測(cè)試服務(wù)器接收所述請(qǐng)求；所述第二用戶信息對(duì)應(yīng)的權(quán)限高于和/或多于所述第一用戶信息對(duì)應(yīng)的權(quán)限，或者所述第二用戶信息對(duì)應(yīng)的金額高于所述第一用戶信息對(duì)應(yīng)的金額；

判斷所述被測(cè)試服務(wù)器是否按照響應(yīng)與所述第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)所述請(qǐng)求；

當(dāng)所述測(cè)試服務(wù)器按照響應(yīng)與所述第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)所述請(qǐng)求時(shí)，確定所述被測(cè)試服務(wù)器存在漏洞。

可選的，所述測(cè)試客戶端設(shè)備將所述第一用戶信息修改為第二用戶信息具體包括將所述第一用戶信息包括的第一用戶等級(jí)修改為高于所述第一用戶等級(jí)的第二用戶等級(jí)，以獲得所述第二用戶信息，所述第二用戶等級(jí)對(duì)應(yīng)的權(quán)限高于和/或多于所述第一用戶等級(jí)對(duì)應(yīng)的權(quán)限，所述請(qǐng)求具體為第一請(qǐng)求，所述第一請(qǐng)求為以所述第二用戶等級(jí)的權(quán)限才能夠被響應(yīng)的請(qǐng)求，判斷所述被測(cè)試服務(wù)器是否按照響應(yīng)與所述第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)所述請(qǐng)求，包括：

判斷所述被測(cè)試服務(wù)器是否按照所述第二用戶等級(jí)具有的權(quán)限響應(yīng)所述第一請(qǐng)求；

當(dāng)所述被測(cè)試服務(wù)器按照所述第二用戶等級(jí)具有的權(quán)限響應(yīng)所述第一請(qǐng)求時(shí)，表示所述被測(cè)試服務(wù)器按照響應(yīng)與所述第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)所述請(qǐng)求。

可選的，所述測(cè)試客戶端設(shè)備將所述第一用戶信息修改為第二用戶信息具體包括將所述第一用戶信息包括的第一金額參數(shù)修改為高于所述第一金額參數(shù)的第二金額參數(shù)，以獲得所述第二用戶信息，所述第二金額參數(shù)對(duì)應(yīng)的金額高于所述第一金額參數(shù)對(duì)應(yīng)的金額，所述請(qǐng)求具體為第二請(qǐng)求，所述第二請(qǐng)求為按照所述第二金額參數(shù)進(jìn)行交易的請(qǐng)求，判斷所述被測(cè)試服務(wù)器是否按照響應(yīng)與所述第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)所述請(qǐng)求，包括：

判斷所述被測(cè)試服務(wù)器是否以按照所述第二金額參數(shù)進(jìn)行交易的方式響應(yīng)所述第二請(qǐng)求；

當(dāng)所述被測(cè)試服務(wù)器以按照所述第二金額參數(shù)進(jìn)行交易的方式響應(yīng)所述第二請(qǐng)求時(shí)，表示所述被測(cè)試服務(wù)器按照響應(yīng)與所述第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)所述請(qǐng)求。

可選的，所述測(cè)試客戶端設(shè)備將所述第一用戶信息修改為第二用戶信息具體包括將所述第一用戶信息包括的第一交易類型修改為第二交易類型，以獲得所述第二用戶信息，所述第二交易類型的單位交易金額高于所述第一交易類型的單位交易金額，所述請(qǐng)求具體為第三請(qǐng)求，所述第三請(qǐng)求為按照所述第二交易類型進(jìn)行交易的請(qǐng)求，判斷所述被測(cè)試服務(wù)器是否按照響應(yīng)與所述第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)所述請(qǐng)求，包括：

判斷所述被測(cè)試服務(wù)器是否以按照所述第二交易類型進(jìn)行交易的方式響應(yīng)所述第三請(qǐng)求；

當(dāng)所述被測(cè)試服務(wù)器以按照所述第二交易類型進(jìn)行交易的方式響應(yīng)所述第三請(qǐng)求時(shí)，表示所述被測(cè)試服務(wù)器按照響應(yīng)與所述第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)所述請(qǐng)求。

可選的，所述用戶等級(jí)包括用戶類型和/或級(jí)別，所述金額參數(shù)為賬戶余額和/或虛擬禮物數(shù)量，所述交易類型包括虛擬禮物類型。

第二方面，本發(fā)明提供了一種測(cè)試漏洞的系統(tǒng)，包括：

發(fā)送模塊，用于通過被測(cè)試服務(wù)器向一測(cè)試客戶端設(shè)備發(fā)送第一用戶信息，所述測(cè)試客戶端設(shè)備將所述第一用戶信息修改為第二用戶信息，并基于所述第二用戶信息向所述被測(cè)試服務(wù)器發(fā)送請(qǐng)求，以使所述被測(cè)試服務(wù)器接收所述請(qǐng)求；所述第二用戶信息對(duì)應(yīng)的權(quán)限高于和/或多于所述第一用戶信息對(duì)應(yīng)的權(quán)限，或者所述第二用戶信息對(duì)應(yīng)的金額高于所述第一用戶信息對(duì)應(yīng)的金額；

判斷模塊，用于判斷所述被測(cè)試服務(wù)器是否按照響應(yīng)與所述第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)所述請(qǐng)求；

確定模塊，用于當(dāng)所述測(cè)試服務(wù)器按照響應(yīng)與所述第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)所述請(qǐng)求時(shí)，確定所述被測(cè)試服務(wù)器存在漏洞。

可選的，所述測(cè)試客戶端設(shè)備將所述第一用戶信息修改為第二用戶信息具體包括將所述第一用戶信息包括的第一用戶等級(jí)修改為高于所述第一用戶等級(jí)的第二用戶等級(jí)，以獲得所述第二用戶信息，所述第二用戶等級(jí)對(duì)應(yīng)的權(quán)限高于和/或多于所述第一用戶等級(jí)對(duì)應(yīng)的權(quán)限，所述請(qǐng)求具體為第一請(qǐng)求，所述第一請(qǐng)求為以所述第二用戶等級(jí)的權(quán)限才能夠被響應(yīng)的請(qǐng)求，所述判斷模塊用于判斷所述被測(cè)試服務(wù)器是否按照所述第二用戶等級(jí)具有的權(quán)限響應(yīng)所述第一請(qǐng)求；當(dāng)所述被測(cè)試服務(wù)器按照所述第二用戶等級(jí)具有的權(quán)限響應(yīng)所述第一請(qǐng)求時(shí)，表示所述被測(cè)試服務(wù)器按照響應(yīng)與所述第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)所述請(qǐng)求。

可選的，所述測(cè)試客戶端設(shè)備將所述第一用戶信息修改為第二用戶信息具體包括將所述第一用戶信息包括的第一金額參數(shù)修改為高于所述第一金額參數(shù)的第二金額參數(shù)，以獲得所述第二用戶信息，所述第二金額參數(shù)對(duì)應(yīng)的金額高于所述第一金額參數(shù)對(duì)應(yīng)的金額，所述請(qǐng)求具體為第二請(qǐng)求，所述第二請(qǐng)求為按照所述第二金額參數(shù)進(jìn)行交易的請(qǐng)求，所述判斷模塊用于判斷所述被測(cè)試服務(wù)器是否以按照所述第二金額參數(shù)進(jìn)行交易的方式響應(yīng)所述第二請(qǐng)求；當(dāng)所述被測(cè)試服務(wù)器以按照所述第二金額參數(shù)進(jìn)行交易的方式響應(yīng)所述第二請(qǐng)求時(shí)，表示所述被測(cè)試服務(wù)器按照響應(yīng)與所述第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)所述請(qǐng)求。

可選的，所述測(cè)試客戶端設(shè)備將所述第一用戶信息修改為第二用戶信息具體包括將所述第一用戶信息包括的第一交易類型修改為第二交易類型，以獲得所述第二用戶信息，所述第二交易類型的單位交易金額高于所述第一交易類型的單位交易金額，所述請(qǐng)求具體為第三請(qǐng)求，所述第三請(qǐng)求為按照所述第二交易類型進(jìn)行交易的請(qǐng)求，所述判斷模塊用于判斷所述被測(cè)試服務(wù)器是否以按照所述第二交易類型進(jìn)行交易的方式響應(yīng)所述第三請(qǐng)求；當(dāng)所述被測(cè)試服務(wù)器以按照所述第二交易類型進(jìn)行交易的方式響應(yīng)所述第三請(qǐng)求時(shí)，表示所述被測(cè)試服務(wù)器按照響應(yīng)與所述第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)所述請(qǐng)求。

可選的，所述用戶等級(jí)包括用戶類型和/或級(jí)別，所述金額參數(shù)為賬戶余額和/或虛擬禮物數(shù)量，所述交易類型包括虛擬禮物類型。

本申請(qǐng)實(shí)施例中的上述一個(gè)或多個(gè)技術(shù)方案，至少具有如下一種或多種技術(shù)效果：

在本發(fā)明實(shí)施例的技術(shù)方案中，首先通過被測(cè)試服務(wù)器向一測(cè)試客戶端設(shè)備發(fā)送第一用戶信息，然后模擬黑客攻擊服務(wù)器，將所述第一用戶信息修改為權(quán)限更高更多或者對(duì)應(yīng)金額更高的第二用戶信息，然后基于所述第二用戶信息向所述被測(cè)試服務(wù)器發(fā)送請(qǐng)求，那么當(dāng)所述被測(cè)試服務(wù)器沒有識(shí)別并防御虛假的所述第二用戶信息，而是按照正常響應(yīng)與所述第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)所述請(qǐng)求時(shí)，則確定所述被測(cè)試服務(wù)器存在漏洞。所以，本發(fā)明實(shí)施例通過修改用戶信息的方式，實(shí)現(xiàn)了測(cè)試出被測(cè)試服務(wù)器漏洞的技術(shù)效果。

附圖說明

圖1為本發(fā)明實(shí)施例中一種可能的測(cè)試漏洞的架構(gòu)示意圖；

圖2為本發(fā)明實(shí)施例中的測(cè)試漏洞的方法流程圖；

圖3為本發(fā)明實(shí)施例中的測(cè)試漏洞的系統(tǒng)示意圖。

具體實(shí)施方式

本發(fā)明實(shí)施例提供了一種測(cè)試漏洞的方法和系統(tǒng)，用于實(shí)現(xiàn)測(cè)試被測(cè)試服務(wù)器漏洞的技術(shù)效果。

為了解決上述技術(shù)問題，本發(fā)明提供的技術(shù)方案總體思路如下：

在本發(fā)明實(shí)施例的技術(shù)方案中，首先通過被測(cè)試服務(wù)器向一測(cè)試客戶端設(shè)備發(fā)送第一用戶信息，然后模擬黑客攻擊服務(wù)器，將所述第一用戶信息修改為權(quán)限更高更多或者對(duì)應(yīng)金額更高的第二用戶信息，然后基于所述第二用戶信息向所述被測(cè)試服務(wù)器發(fā)送請(qǐng)求，那么當(dāng)所述被測(cè)試服務(wù)器沒有識(shí)別并防御虛假的所述第二用戶信息，而是按照正常響應(yīng)與所述第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)所述請(qǐng)求時(shí)，則確定所述被測(cè)試服務(wù)器存在漏洞。所以，本發(fā)明實(shí)施例通過修改用戶信息的方式，實(shí)現(xiàn)了測(cè)試出被測(cè)試服務(wù)器漏洞的技術(shù)效果。

下面通過附圖以及具體實(shí)施例對(duì)本發(fā)明技術(shù)方案做詳細(xì)的說明，應(yīng)當(dāng)理解本申請(qǐng)實(shí)施例以及實(shí)施例中的具體特征是對(duì)本申請(qǐng)技術(shù)方案的詳細(xì)的說明，而不是對(duì)本申請(qǐng)技術(shù)方案的限定，在不沖突的情況下，本申請(qǐng)實(shí)施例以及實(shí)施例中的技術(shù)特征可以相互組合。

本文中術(shù)語(yǔ)“和/或”，僅僅是一種描述關(guān)聯(lián)對(duì)象的關(guān)聯(lián)關(guān)系，表示可以存在三種關(guān)系，例如，a和/或b，可以表示：?jiǎn)为?dú)存在a，同時(shí)存在a和b，單獨(dú)存在b這三種情況。另外，本文中字符“/”，一般表示前后關(guān)聯(lián)對(duì)象是一種“或”的關(guān)系。

為了清楚地對(duì)本發(fā)明的測(cè)試漏洞的方法進(jìn)行說明，首先對(duì)本發(fā)明實(shí)施例測(cè)試漏洞的架構(gòu)進(jìn)行介紹。請(qǐng)參考圖1，為本發(fā)明實(shí)施例中一種可能的測(cè)試漏洞的架構(gòu)示意圖。如圖1所示，測(cè)試漏洞的架構(gòu)包括被測(cè)試服務(wù)器、測(cè)試客戶端設(shè)備和測(cè)試漏洞的系統(tǒng)。

測(cè)試對(duì)象為被測(cè)試服務(wù)器，本發(fā)明所指的漏洞為被測(cè)試服務(wù)器的漏洞。被測(cè)試服務(wù)器具體為網(wǎng)絡(luò)直播平臺(tái)服務(wù)器。測(cè)試客戶端設(shè)備用于模擬實(shí)際客戶端設(shè)備，實(shí)際客戶端設(shè)備例如為手機(jī)、臺(tái)式機(jī)或平板電腦等。在具體實(shí)現(xiàn)過程中，測(cè)試客戶端設(shè)備可以為手機(jī)、臺(tái)式機(jī)或平板電腦等真實(shí)的客戶端設(shè)備，也可以為仿真客戶端設(shè)備的仿真軟件或仿真插件等，本發(fā)明不做具體限制。測(cè)試漏洞的系統(tǒng)可以運(yùn)行在不同于被測(cè)試服務(wù)器的第三方設(shè)備中，也可以運(yùn)行在被測(cè)試服務(wù)器中，本發(fā)明不做具體限制。

下面請(qǐng)參考圖2，為本發(fā)明實(shí)施例中測(cè)試漏洞的方法流程圖。該方法包括：

s101：通過被測(cè)試服務(wù)器向一測(cè)試客戶端設(shè)備發(fā)送第一用戶信息；

s102：判斷所述被測(cè)試服務(wù)器是否按照響應(yīng)與所述第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)所述請(qǐng)求；

s103：當(dāng)所述測(cè)試服務(wù)器按照響應(yīng)與所述第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)所述請(qǐng)求時(shí)，確定所述被測(cè)試服務(wù)器存在漏洞。

具體來講，通常情況下，用戶會(huì)在客戶端設(shè)備上進(jìn)行登錄，進(jìn)而客戶端設(shè)備將以該用戶的身份接入網(wǎng)絡(luò)直播平臺(tái)的服務(wù)器。網(wǎng)絡(luò)直播平臺(tái)的服務(wù)器會(huì)將該用戶的真實(shí)用戶信息發(fā)送到客戶端設(shè)備。因此，在測(cè)試過程的s101中，測(cè)試服務(wù)器向測(cè)試客戶端設(shè)備發(fā)送第一用戶信息，本發(fā)明實(shí)施例中的第一用戶信息為模擬網(wǎng)絡(luò)直播平臺(tái)服務(wù)器所發(fā)送的真實(shí)用戶信息。

在測(cè)試客戶端設(shè)備接收第一用戶信息后，測(cè)試客戶端設(shè)備將第一用戶信息修改為第二用戶信息。其中，第二用戶信息對(duì)應(yīng)的權(quán)限高于和/或多于第一用戶信息對(duì)應(yīng)的權(quán)限，例如第二用戶信息對(duì)應(yīng)的權(quán)限有15個(gè)，而第一用戶信息對(duì)應(yīng)的權(quán)限僅有10個(gè)，或者第二用戶信息具有修改彈幕顏色的權(quán)限，而第一用戶信息對(duì)應(yīng)的權(quán)限則不具有修改彈幕顏色的權(quán)限?；蛘?，第二用戶信息對(duì)應(yīng)的金額高于第一用戶信息對(duì)應(yīng)的金額，例如第二用戶信息的賬戶余額有5000，而第一用戶信息的賬戶余額僅有200。

然后，測(cè)試客戶端設(shè)備基于第二用戶信息向被測(cè)試服務(wù)器發(fā)送請(qǐng)求，由此模擬黑客向網(wǎng)絡(luò)直播平臺(tái)服務(wù)器發(fā)起的攻擊。

在具體實(shí)現(xiàn)過程中，黑客攻擊網(wǎng)絡(luò)直播平臺(tái)服務(wù)器的一種方式為直接獲取經(jīng)濟(jì)利用或者通過較高權(quán)限間接獲取經(jīng)濟(jì)利用，因此本發(fā)明實(shí)施例通過修改第一用戶信息得到第二用戶信息，并基于第二用戶信息向被測(cè)試服務(wù)器發(fā)送請(qǐng)求來模擬黑客攻擊服務(wù)器的該種攻擊方式。

在s102中，判斷被測(cè)試服務(wù)器是否按照正常響應(yīng)第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)該請(qǐng)求。具體來講，響應(yīng)與第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式指的是在收到基于真實(shí)用戶信息而發(fā)送的請(qǐng)求時(shí)服務(wù)器響應(yīng)該請(qǐng)求的方式。例如，一個(gè)用戶的用戶信息對(duì)應(yīng)有修改彈幕顏色的權(quán)限，那么基于該用戶信息所發(fā)送的修改彈幕顏色的請(qǐng)求，由于該用戶信息對(duì)應(yīng)了修改彈幕顏色的權(quán)限，所以網(wǎng)絡(luò)直播平臺(tái)的服務(wù)器才會(huì)修改彈幕的顏色。由于此時(shí)第二用戶信息模擬了虛假用戶信息，被測(cè)試服務(wù)器應(yīng)當(dāng)不響應(yīng)該請(qǐng)求，或者不按照正常方式的響應(yīng)(例如反饋表示當(dāng)前用戶不具有對(duì)應(yīng)權(quán)限的信息)，所以，如果被測(cè)試服務(wù)器按照正常方式響應(yīng)，則表示被測(cè)試服務(wù)器不能識(shí)別出該請(qǐng)求的異常，更加不能防御黑客的攻擊，因此被測(cè)試服務(wù)器存在漏洞。

所以，在s103中，當(dāng)被測(cè)試服務(wù)器按照響應(yīng)與第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)了該請(qǐng)求，則確定被測(cè)試服務(wù)器存在漏洞。

更具體而言，第一用戶信息包括但不限于用戶類型、級(jí)別、賬戶余額、虛擬禮物數(shù)量和虛擬禮物類型等多個(gè)參數(shù)。在具體實(shí)現(xiàn)過程中，網(wǎng)絡(luò)直播平臺(tái)的服務(wù)器按照客戶端設(shè)備與服務(wù)器之間的通信協(xié)議向客戶端設(shè)備發(fā)送的每個(gè)參數(shù)。具體判斷被測(cè)試服務(wù)器是否按照正常方式響應(yīng)了被測(cè)試客戶端設(shè)備發(fā)送的請(qǐng)求，與具體選擇的協(xié)議或參數(shù)有關(guān)。

具體來講，在本發(fā)明實(shí)施例中，測(cè)試人員先獲取網(wǎng)絡(luò)直播平臺(tái)服務(wù)器和客戶端設(shè)備的所有通信協(xié)議，然后從所有協(xié)議中選擇一個(gè)或多個(gè)協(xié)議用于測(cè)試。依據(jù)經(jīng)驗(yàn)，黑客攻擊往往涉及到網(wǎng)絡(luò)直播平臺(tái)收益的協(xié)議，因此選擇涉及收益的協(xié)議為較佳選擇。其中，涉及網(wǎng)絡(luò)直播平臺(tái)收益的協(xié)議指的是涉及到金錢交易或者權(quán)限的協(xié)議。例如，包含用戶類型的協(xié)議、包含用戶級(jí)別的協(xié)議、包含賬戶余額的協(xié)議、包含虛擬禮物數(shù)量的協(xié)議以及包含用戶道具數(shù)量和道具列表的協(xié)議等。

下面具體以包括表示用戶等級(jí)、金額參數(shù)和交易類型的協(xié)議為例，來介紹具體如何執(zhí)行測(cè)試漏洞。

第一種實(shí)施方式：

在第一種實(shí)施方式中，具體選擇的協(xié)議為包含表示用戶等級(jí)的協(xié)議。其中，用戶等級(jí)具體用戶類型，或者級(jí)別，或者用戶類型和級(jí)別等。不同的用戶類型對(duì)應(yīng)的權(quán)限不完全相同，不同的級(jí)別對(duì)應(yīng)的權(quán)限也不完全相同。

舉例來說，用戶類型包括普通用戶和vip用戶，vip用戶較普通用戶具有更多的權(quán)限，且具有更高的權(quán)限。級(jí)別包括l1、l2、…、l80，l1至l80的用戶具有的權(quán)限依次遞增，l1的用戶具有的權(quán)限最低，l80的用戶具有的權(quán)限最高。

在第一種實(shí)施方式中，測(cè)試客戶端設(shè)備在第一用戶信息中搜索出包含第一用戶等級(jí)的協(xié)議，然后將第一用戶等級(jí)修改為第二用戶等級(jí)，由此將第一用戶信息修改為第二用戶信息。其中，第二用戶等級(jí)對(duì)應(yīng)的權(quán)限高于和/或多于第一用戶等級(jí)對(duì)應(yīng)的權(quán)限。

以用戶等級(jí)具體為用戶類型為例來說明，vip用戶不僅具有普通用戶的所有權(quán)限，進(jìn)一步還具有修改彈幕顏色的權(quán)限。在第一用戶信息中搜索出協(xié)議userinfo:“name@:xxx/vip@:0”。其中userinfo標(biāo)示包含用戶類型的協(xié)議，“name@:xxx/vip@:0”中的“name@:xxx”表示用戶名為xxx，“vip@:0”表示用戶類型為vip用戶(“vip@:0”中的“0”標(biāo)示普通用戶)。然后，將userinfo:“name@:xxx/vip@:0”中的“vip@:0”修改為“vip@:1”(“vip@:1”中的“1”標(biāo)示vip用戶)，進(jìn)而將用戶類型修改為vip類型。

或者，以用戶等級(jí)具體為級(jí)別為例來說明，l80具有購(gòu)物高級(jí)禮物的權(quán)限。在第一用戶信息中搜索出協(xié)議data:“gold@:10/level@:1”。其中data標(biāo)示包含級(jí)別的協(xié)議，“gold@:10/level@:1”中的“l(fā)evel@:1”表示級(jí)別為l1(“l(fā)evel@:1”中的“1”標(biāo)示級(jí)別l1)。然后，將data:“gold@:10/level@:1”中的level@:1修改為level@:80，進(jìn)而將級(jí)別修改為l80。

在第一種實(shí)施方式中，測(cè)試客戶端設(shè)備向被測(cè)試服務(wù)器發(fā)送的請(qǐng)求具體為第一請(qǐng)求，第一請(qǐng)求為以第二用戶等級(jí)的權(quán)限才能夠被響應(yīng)的請(qǐng)求。具體來講，用戶在客戶端設(shè)備中會(huì)執(zhí)行操作，例如輸入并發(fā)送彈幕，贈(zèng)送虛擬禮物等，然后客戶端設(shè)備會(huì)生成對(duì)應(yīng)的請(qǐng)求，并將請(qǐng)求發(fā)送到網(wǎng)絡(luò)直播平臺(tái)的服務(wù)器。網(wǎng)絡(luò)直播平臺(tái)的服務(wù)器判斷用戶是否具有足夠的權(quán)限，如有具有足夠的權(quán)限，則響應(yīng)請(qǐng)求，如果用戶沒有足夠的權(quán)限，則不響應(yīng)請(qǐng)求。因此，在本發(fā)明實(shí)施例中，測(cè)試客戶端設(shè)備可以模擬出任意以第二用戶等級(jí)的權(quán)限才能被響應(yīng)的第一請(qǐng)求。

那么，在第一種實(shí)施方式中，s102則具體包括：

判斷所述被測(cè)試服務(wù)器是否按照所述第二用戶等級(jí)具有的權(quán)限響應(yīng)所述第一請(qǐng)求。

具體來講，由于第二用戶等級(jí)為虛假用戶等級(jí)，在安全情況下不應(yīng)當(dāng)被響應(yīng)，或者不應(yīng)當(dāng)按照第二用戶等級(jí)所具有的權(quán)限正常響應(yīng)，因此，如果被測(cè)試服務(wù)器按照第二用戶等級(jí)具有的權(quán)限響應(yīng)了第一請(qǐng)求，則表示被測(cè)試服務(wù)器按照響應(yīng)與第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)請(qǐng)求，進(jìn)而確定被測(cè)試服務(wù)器存在漏洞。

沿用上文中的第一個(gè)例子來說，對(duì)于xxx用戶而言，其真實(shí)的第一用戶類型為普通用戶，并不是vip用戶，將用戶類型修改為vip用戶，并向被測(cè)試服務(wù)器發(fā)送修改彈幕顏色的第一請(qǐng)求。那么，如果被測(cè)試服務(wù)器響應(yīng)該第一請(qǐng)求修改了彈幕顏色，則表示被測(cè)試服務(wù)器不能識(shí)別出虛假的用戶類型，因此確定被測(cè)試服務(wù)器存在漏洞。

沿用上文中的第二個(gè)例子來說，真實(shí)的級(jí)別為l1，并不是l80，將級(jí)別修改為l80，并向服務(wù)器發(fā)送購(gòu)買高級(jí)虛擬禮物的第一請(qǐng)求。那么，如果被測(cè)試服務(wù)器響應(yīng)該第一請(qǐng)求，購(gòu)買了高級(jí)虛擬禮物，則表示被測(cè)試服務(wù)器不能識(shí)別出虛假的用戶類型，因此確定被測(cè)試服務(wù)器存在漏洞。

第二種實(shí)施方式：

在第二種實(shí)施方式中，具體選擇的協(xié)議為包含表示金額參數(shù)的協(xié)議。其中，金額參數(shù)具體可以為賬戶余額，或者虛擬禮物數(shù)量，或者賬戶余額和虛擬禮物數(shù)量等。賬戶余額越高對(duì)應(yīng)的金額越高，虛擬禮物數(shù)量越多對(duì)應(yīng)的金額越高。

在第二種實(shí)施方式中，測(cè)試客戶端設(shè)備在第二用戶信息中搜索出包含第一金額參數(shù)的協(xié)議，然后，將第一金額參數(shù)修改為第二金額參數(shù)，由此將第一用戶信息修改為第二用戶信息。其中，第二金額參數(shù)對(duì)應(yīng)的金額高于第一金額參數(shù)對(duì)應(yīng)的金額。

以金額參數(shù)具體為賬戶余額為例來說明。在第一用戶信息中搜索出協(xié)議data:“gold@:10/level@:1”。其中data標(biāo)示包含賬戶余額的協(xié)議，“gold@:10/level@:1”中的“gold@:10”表示賬戶余額為10(“gold@:10”中的“10”標(biāo)示賬戶余額數(shù)量10)。然后，將data:“gold@:10/level@:1”中的“gold@:10”修改為“gold@:100000000”。

再以金額參數(shù)具體為虛擬禮物數(shù)量為例來說明。在第一用戶信息中搜索出協(xié)議giftdata:“gifttype@:1/giftnum@:10”。其中“giftdata”標(biāo)示包含虛擬禮物數(shù)量的協(xié)議，“gifttype@:1/giftnum@:10”中的“giftnum@:10”表示虛擬禮物數(shù)量為10(“giftnum@:10”中的“10”標(biāo)示虛擬禮物數(shù)量10)。然后，將giftdata:“gifttype@:1/giftnum@:10”中的“giftnum@:10”修改為“giftnum@:100000000”。

在第二種實(shí)施方式中，測(cè)試客戶端設(shè)備向被測(cè)試服務(wù)器發(fā)送的請(qǐng)求具體為第二請(qǐng)求，第二請(qǐng)求為按照第二金額參數(shù)進(jìn)行交易的請(qǐng)求。具體來講，用戶在客戶端設(shè)備中會(huì)執(zhí)行交易操作，例如提取現(xiàn)金、購(gòu)買物品或者贈(zèng)送虛擬禮物等，然后客戶端設(shè)備會(huì)生成對(duì)應(yīng)的請(qǐng)求，并將請(qǐng)求發(fā)送到網(wǎng)絡(luò)直播平臺(tái)的服務(wù)器。網(wǎng)絡(luò)直播平臺(tái)的服務(wù)器判斷請(qǐng)求交易的金額是否超過允許交易的上線(例如是否不超過賬戶余額或不超過虛擬禮物數(shù)量)。如果交易的金額不超過允許交易的上線，則響應(yīng)請(qǐng)求進(jìn)行交易，如果超過允許交易的上線，則不響應(yīng)請(qǐng)求不進(jìn)行交易。因此，在本發(fā)明實(shí)施例中，測(cè)試客戶端設(shè)備模擬出按照第二金額參數(shù)進(jìn)行交易的第二請(qǐng)求。

那么，在第二種實(shí)施方式中，s102則具體包括：

判斷所述被測(cè)試服務(wù)器是否以按照所述第二金額參數(shù)進(jìn)行交易的方式響應(yīng)所述第二請(qǐng)求。

具體來講，由于第二金額參數(shù)為虛假金額參數(shù)，在安全情況下不應(yīng)當(dāng)被響應(yīng)，或者不應(yīng)當(dāng)執(zhí)行交易，因此，如果被測(cè)試服務(wù)器允許并按照第二金額參數(shù)進(jìn)行了交易，則表示被測(cè)試服務(wù)器按照響應(yīng)與第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)請(qǐng)求，進(jìn)而確定被測(cè)試服務(wù)器存在漏洞。

沿用上文中的第一個(gè)例子來說，真實(shí)的賬戶余額僅有10，將賬戶余額修改為100000000，并向被測(cè)試服務(wù)器發(fā)送購(gòu)買價(jià)值100000000的物品的第二請(qǐng)求。那么，如果被測(cè)試服務(wù)器響應(yīng)了第二請(qǐng)求，購(gòu)買了價(jià)值100000000的物品，則表示被測(cè)試服務(wù)器不能識(shí)別出虛假的賬戶余額，因此確定被測(cè)試服務(wù)器存在漏洞。

再沿用上文中的第二個(gè)例子來說，真實(shí)的虛擬禮物數(shù)量?jī)H有10，將虛擬禮物數(shù)量修改為100000000，并向被測(cè)試服務(wù)器發(fā)送向主播贈(zèng)送100000000個(gè)虛擬禮物的第二請(qǐng)求。那么，如果被測(cè)試服務(wù)器響應(yīng)了第二請(qǐng)求，向主播贈(zèng)送了100000000個(gè)虛擬禮物，則表示被測(cè)試服務(wù)器不能識(shí)別出虛假的虛擬禮物數(shù)量，因此確定被測(cè)試服務(wù)器存在漏洞。

第三種實(shí)施方式：

在第三種實(shí)施方式中，具體選擇的協(xié)議為包含表示交易類型的協(xié)議。其中，交易類型具體例如虛擬禮物類型等。購(gòu)買不同類型的虛擬禮物需要不同的金額，因此不同的虛擬禮物類型對(duì)應(yīng)的金額不完全相同。

在第三種實(shí)施方式中，測(cè)試客戶端設(shè)備在第二用戶信息中搜索出包含第一交易類型的協(xié)議，然后，將第一交易類型修改為第二交易類型，由此將第一用戶信息修改為第二用戶信息。其中，第二交易類型對(duì)應(yīng)的金額高于第一交易類型對(duì)應(yīng)的金額。

以交易類型具體為虛擬禮物類型為例來說明。在第一用戶信息中搜索出協(xié)議giftdata:“gifttype@:1/giftnum@:10”。其中g(shù)iftdata表示包含虛擬禮物類型的協(xié)議，“gifttype@:1/giftnum@:10”中的“gifttype@:1”表示虛擬禮物類型為1(“gifttype@:1”中的“1”標(biāo)示虛擬禮物類型1)。然后，將giftdata:“gifttype@:1/giftnum@:10”中的“gifttype@:1”修改為“gifttype@:10”。其中，類型為1的虛擬禮物對(duì)應(yīng)的金額為0，類型為10的虛擬禮物對(duì)應(yīng)的金額為1000。

在第三種實(shí)施方式中，測(cè)試客戶端設(shè)備向被測(cè)試服務(wù)器發(fā)送的請(qǐng)求具體為第三請(qǐng)求，第三請(qǐng)求為按照第二交易類型進(jìn)行交易的請(qǐng)求。具體來講，用戶在客戶端設(shè)備中執(zhí)行交易操作，然后客戶端設(shè)備會(huì)生成對(duì)應(yīng)的請(qǐng)求，并將請(qǐng)求發(fā)送到網(wǎng)絡(luò)直播平臺(tái)的服務(wù)器中。網(wǎng)絡(luò)直播平臺(tái)的服務(wù)器判斷請(qǐng)求中交易類型是否與交易類型匹配，如有匹配則響應(yīng)請(qǐng)求允許交易，如果不匹配則不響應(yīng)請(qǐng)求不進(jìn)行交易。因此，在本發(fā)明實(shí)施例中，測(cè)試客戶端設(shè)備模擬出按照第二交易類型進(jìn)行交易的第三請(qǐng)求。

那么，在第三種實(shí)施方式中，s102則具體包括：

判斷所述被測(cè)試服務(wù)器是否以按照所述第二交易類型進(jìn)行交易的方式響應(yīng)所述第三請(qǐng)求。

具體來講，由于第二交易類型為虛假交易類型，在安全情況下不應(yīng)當(dāng)被響應(yīng)，或者不應(yīng)當(dāng)按照?qǐng)?zhí)行交易，因此，如果被測(cè)試服務(wù)器允許并按照第二交易類型進(jìn)行交易，則表示被測(cè)試服務(wù)器按照響應(yīng)與第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)請(qǐng)求，進(jìn)而確定被測(cè)試服務(wù)器存在漏洞。

沿用上文中的例子來說，真實(shí)的虛擬禮物類型為1，對(duì)應(yīng)金額僅為0，將虛擬禮物類型修改為10，并向被測(cè)試服務(wù)器發(fā)送向主播贈(zèng)送類型為10的虛擬禮物的第三請(qǐng)求。那么，如果被測(cè)試服務(wù)器響應(yīng)第三請(qǐng)求，向主播贈(zèng)送了對(duì)應(yīng)金額為1000的虛擬禮物，則表示被測(cè)試服務(wù)器不能識(shí)別出虛假的虛擬禮物類型，因此確定被測(cè)試服務(wù)器存在漏洞。

基于與前述實(shí)施例中測(cè)試漏洞的方法同樣的發(fā)明構(gòu)思，本發(fā)明第二方面還提供一種測(cè)試漏洞的系統(tǒng)，如圖3所示，包括：

發(fā)送模塊101，用于通過被測(cè)試服務(wù)器向一測(cè)試客戶端設(shè)備發(fā)送第一用戶信息，所述測(cè)試客戶端設(shè)備將所述第一用戶信息修改為第二用戶信息，并基于所述第二用戶信息向所述被測(cè)試服務(wù)器發(fā)送請(qǐng)求，以使所述被測(cè)試服務(wù)器接收所述請(qǐng)求；所述第二用戶信息對(duì)應(yīng)的權(quán)限高于和/或多于所述第一用戶信息對(duì)應(yīng)的權(quán)限，或者所述第二用戶信息對(duì)應(yīng)的金額高于所述第一用戶信息對(duì)應(yīng)的金額；

判斷模塊102，用于判斷所述被測(cè)試服務(wù)器是否按照響應(yīng)與所述第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)所述請(qǐng)求；

確定模塊103，用于當(dāng)所述測(cè)試服務(wù)器按照響應(yīng)與所述第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)所述請(qǐng)求時(shí)，確定所述被測(cè)試服務(wù)器存在漏洞。

可選的，所述測(cè)試客戶端設(shè)備將所述第一用戶信息修改為第二用戶信息具體包括將所述第一用戶信息包括的第一用戶等級(jí)修改為高于所述第一用戶等級(jí)的第二用戶等級(jí)，以獲得所述第二用戶信息，所述第二用戶等級(jí)對(duì)應(yīng)的權(quán)限高于和/或多于所述第一用戶等級(jí)對(duì)應(yīng)的權(quán)限，所述請(qǐng)求具體為第一請(qǐng)求，所述第一請(qǐng)求為以所述第二用戶等級(jí)的權(quán)限才能夠被響應(yīng)的請(qǐng)求，所述判斷模塊102用于判斷所述被測(cè)試服務(wù)器是否按照所述第二用戶等級(jí)具有的權(quán)限響應(yīng)所述第一請(qǐng)求；當(dāng)所述被測(cè)試服務(wù)器按照所述第二用戶等級(jí)具有的權(quán)限響應(yīng)所述第一請(qǐng)求時(shí)，表示所述被測(cè)試服務(wù)器按照響應(yīng)與所述第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)所述請(qǐng)求。

可選的，所述測(cè)試客戶端設(shè)備將所述第一用戶信息修改為第二用戶信息具體包括將所述第一用戶信息包括的第一金額參數(shù)修改為高于所述第一金額參數(shù)的第二金額參數(shù)，以獲得所述第二用戶信息，所述第二金額參數(shù)對(duì)應(yīng)的金額高于所述第一金額參數(shù)對(duì)應(yīng)的金額，所述請(qǐng)求具體為第二請(qǐng)求，所述第二請(qǐng)求為按照所述第二金額參數(shù)進(jìn)行交易的請(qǐng)求，所述判斷模塊102用于判斷所述被測(cè)試服務(wù)器是否以按照所述第二金額參數(shù)進(jìn)行交易的方式響應(yīng)所述第二請(qǐng)求；當(dāng)所述被測(cè)試服務(wù)器以按照所述第二金額參數(shù)進(jìn)行交易的方式響應(yīng)所述第二請(qǐng)求時(shí)，表示所述被測(cè)試服務(wù)器按照響應(yīng)與所述第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)所述請(qǐng)求。

可選的，所述測(cè)試客戶端設(shè)備將所述第一用戶信息修改為第二用戶信息具體包括將所述第一用戶信息包括的第一交易類型修改為第二交易類型，以獲得所述第二用戶信息，所述第二交易類型的單位交易金額高于所述第一交易類型的單位交易金額，所述請(qǐng)求具體為第三請(qǐng)求，所述第三請(qǐng)求為按照所述第二交易類型進(jìn)行交易的請(qǐng)求，所述判斷模塊102用于判斷所述被測(cè)試服務(wù)器是否以按照所述第二交易類型進(jìn)行交易的方式響應(yīng)所述第三請(qǐng)求；當(dāng)所述被測(cè)試服務(wù)器以按照所述第二交易類型進(jìn)行交易的方式響應(yīng)所述第三請(qǐng)求時(shí)，表示所述被測(cè)試服務(wù)器按照響應(yīng)與所述第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)所述請(qǐng)求。

可選的，所述用戶等級(jí)包括用戶類型和/或級(jí)別，所述金額參數(shù)為賬戶余額和/或虛擬禮物數(shù)量，所述交易類型包括虛擬禮物類型。

前述圖1-圖2實(shí)施例中的測(cè)試漏洞的方法的各種變化方式和具體實(shí)例同樣適用于本實(shí)施例的測(cè)試漏洞的系統(tǒng)，通過前述對(duì)測(cè)試漏洞的方法的詳細(xì)描述，本領(lǐng)域技術(shù)人員可以清楚的知道本實(shí)施例中測(cè)試漏洞的系統(tǒng)的實(shí)施方法，所以為了說明書的簡(jiǎn)潔，在此不再詳述。

本申請(qǐng)實(shí)施例中的上述一個(gè)或多個(gè)技術(shù)方案，至少具有如下一種或多種技術(shù)效果：

在本發(fā)明實(shí)施例的技術(shù)方案中，首先通過被測(cè)試服務(wù)器向一測(cè)試客戶端設(shè)備發(fā)送第一用戶信息，然后模擬黑客攻擊服務(wù)器，將所述第一用戶信息修改為權(quán)限更高更多或者對(duì)應(yīng)金額更高的第二用戶信息，然后基于所述第二用戶信息向所述被測(cè)試服務(wù)器發(fā)送請(qǐng)求，那么當(dāng)所述被測(cè)試服務(wù)器沒有識(shí)別并防御虛假的所述第二用戶信息，而是按照正常響應(yīng)與所述第二用戶信息對(duì)應(yīng)的請(qǐng)求的方式響應(yīng)所述請(qǐng)求時(shí)，則確定所述被測(cè)試服務(wù)器存在漏洞。所以，本發(fā)明實(shí)施例通過修改用戶信息的方式，實(shí)現(xiàn)了測(cè)試出被測(cè)試服務(wù)器漏洞的技術(shù)效果。

本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白，本發(fā)明的實(shí)施例可提供為方法、系統(tǒng)、或計(jì)算機(jī)程序產(chǎn)品。因此，本發(fā)明可采用完全硬件實(shí)施例、完全軟件實(shí)施例、或結(jié)合軟件和硬件方面的實(shí)施例的形式。而且，本發(fā)明可采用在一個(gè)或多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲(chǔ)介質(zhì)(包括但不限于磁盤存儲(chǔ)器、cd-rom、光學(xué)存儲(chǔ)器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式。

本發(fā)明是參照根據(jù)本發(fā)明實(shí)施例的方法、設(shè)備(系統(tǒng))、和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合?？商峁┻@些計(jì)算機(jī)程序指令到通用計(jì)算機(jī)、專用計(jì)算機(jī)、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個(gè)機(jī)器，使得通過計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的裝置。

這些計(jì)算機(jī)程序指令也可存儲(chǔ)在能引導(dǎo)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計(jì)算機(jī)可讀存儲(chǔ)器中，使得存儲(chǔ)在該計(jì)算機(jī)可讀存儲(chǔ)器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能。

這些計(jì)算機(jī)程序指令也可裝載到計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上，使得在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處理，從而在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的步驟。

顯然，本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍。這樣，倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)，則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。