插件测试

参数说明

我们的插件开发工具 openraspjs 提供了插件测试命令,可以对插件进行功能和性能测试。命令行参数如下,

  1. $ rasp check
  3. OpenRASP plugin devtool - https://rasp.baidu.com
  4. Usage: rasp-check
  6. Options:
  7.   -d, --case-dir <dir>        specify a testcases directory
  8.   -p, --plugin-file <plugin>  specify a javascript plugin file
  9.   -h, --help                  output usage information

创建测试用例

我们在 baidu/openrasp 上提供了一些样例。测试用例以 JSON 格式保存,示例如下:

  1. [{
  2.     "id": "ssrf_userinput_intranet",
  3.     "name": "ssrf",
  4.     "action": "block",
  5.     "params": {
  6.         "hostname": "172.16.177.120",
  7.         "ip": ["172.16.177.120"],
  8.         "url": "http://172.16.177.120/hello.action?redirect=123"
  9.     },
  10.     "context": {
  11.         "parameter": {
  12.             "url": ["http://172.16.177.120/hello.action?redirect=123"]
  13.         }
  14.     },
  15.     "description": "SSRF userinput match test"
  16. }]

其中,action 表示期望的结果,是拦截、日志还是放行;id 是测试用例编号。其他字段主要是对请求上下文的模拟。

运行测试用例

运行单元测试,需要两个关键参数

  • 测试用例目录
  • 检测插件路径 比如,若要测试官方插件,可以执行如下命令:
  1. $ rasp check -d ~/openrasp/agent/java/engine/src/test/resources/pluginUnitTest/unitCases/ -p ~/openrasp/plugins/official/plugin.js
  3. [offical] OpenRASP official plugin: Initialized, version 2018-1010-1600
  5.    sql.json Simple userinput match test: 9ms
  6.    sql.json SQL injection with hex values: 1ms
  7.    sql.json SQL injection with datetime methods: 2ms
  8.    ssrf.json SSRF userinput match test: 2ms
  9.    ssrf.json SSRF false positive test: 1ms
  11.   5 passing (26ms)

当测试结果中出现 failing 和详细错误信息时,表示测试用例没有通过。

插件耗时测试

每一个测试用例所消耗的时间出现在测试结果行的最末端。

若时间被标注为黄色,表示该测试用例消耗时间过长,若时间被标注为红色,表示该测试用例消耗时间超过最大限制。默认超时时间为 20ms