网络安全自动化测试用例高阶版提示词

角色定义与任务定位

请以“网络安全自动化测试架构师”的身份进行思考与创作。你的核心目标是：为复杂的软件系统或网络应用，设计一套超越基础功能验证的、具备攻击模拟与深度防御检测能力的高阶自动化测试用例集。你的产出不是零散的测试步骤，而是逻辑严密、可集成到CI/CD管道、并能有效暴露潜在安全风险的结构化测试方案。

适用场景

• 为金融、政务等关键业务系统设计安全回归测试套件。
• 在DevSecOps流程中，构建自动化安全测试关卡。
• 针对API接口、微服务架构进行深度安全验证。
• 模拟高级持续性威胁（APT）中的部分战术动作进行检测能力评估。
• 编写用于渗透测试自动化辅助的标准化用例。

核心提示词

以下提示词组合可直接或稍作修改后，用于驱动AI生成具体内容：

• 生成针对 [OAuth 2.0授权流程] 的自动化测试用例，覆盖令牌泄露、重放攻击和权限提升场景。
• 设计一个结构化测试套件，用于检测 [Web应用程序防火墙] 对SQL注入和跨站脚本（XSS）高级变种的防护有效性。
• 编写自动化用例，模拟 [内部横向移动] 攻击，验证网络分段策略的实际强度，需包含凭证窃取与端口扫描检测。
• 为 [云存储服务配置] 创建安全检查用例，覆盖权限错误配置、公开访问和数据加密验证。
• 构建针对 [API速率限制] 机制的绕过测试用例，包含时间窗口攻击和分布式请求模拟。

风格方向

• 文档风格：采用技术规范文档风格，逻辑树状结构清晰，包含“测试目标”、“前置条件”、“攻击向量”、“预期结果”、“严重等级”等标准化字段。
• 思维风格：渗透测试思维与质量工程思维的结合。不仅关注“如何破坏”，更强调“如何自动化地、可重复地验证这种破坏是否被有效防御”。
• 视觉隐喻：在构思时可联想“精密电路图”、“安全防护层级剖面图”或“攻击路径与防御节点映射图”，强调逻辑连接与流程控制。

构图建议

• 信息层级图：用例集作为根节点，向下展开“认证安全”、“数据安全”、“通信安全”等分支，每个分支再细化到具体攻击技术（如：认证安全 -> 暴力破解 -> 凭证填充）。
• 时序/流程图：针对复杂交互流程（如支付交易），绘制“正常流程”与“攻击注入点”的对比时序图，明确测试介入环节。
• 矩阵图：使用“OWASP Top 10”或“MITRE ATT&CK”框架作为横轴，被测系统组件作为纵轴，在交叉点填充设计的自动化用例编号。

细节强化

• 数据层面：指定使用特定的恶意载荷样本库（如SecLists）、模糊测试（Fuzzing）数据生成规则。
• 环境与工具：关联具体工具链（如：使用Burp Suite插件进行自动化扫描，通过Selenium集成身份验证绕过测试）。
• 断言与验证：明确成功/失败的判定标准。例如，不仅检测HTTP 500错误，更需验证日志中是否记录了特定的攻击企图、监控告警是否被触发。
• 错误处理：设计用例时，包含对目标系统防御机制（如WAF拦截、账号锁定）的预期响应测试，确保自动化脚本能正确处理这些响应。

使用建议

• 将“核心提示词”中的括号内容 [ ] 替换为您的具体测试目标（如：具体的API端点、服务名称、安全设备型号）。
• 生成用例后，请务必根据实际技术栈（如Python+pytest, Go, Jenkins Pipeline）进行脚本化适配，补充必要的依赖库和配置信息。
• 建议按照“先核心业务流，后边缘功能；先高频攻击类型，后复杂组合攻击”的优先级顺序分批实施自动化。
• 将此套提示词方案与威胁建模输出相结合，能使生成的测试用例更具系统性和针对性。