[发明专利]一种面向web攻击测试的收集被测系统基本信息的自动化方法有效
申请号: | 201710434400.7 | 申请日: | 2017-06-09 |
公开(公告)号: | CN107239401B | 公开(公告)日: | 2020-09-22 |
发明(设计)人: | 王鹏;宋桂香;刘雁鸣 | 申请(专利权)人: | 苏州浪潮智能科技有限公司 |
主分类号: | G06F11/36 | 分类号: | G06F11/36 |
代理公司: | 济南诚智商标专利事务所有限公司 37105 | 代理人: | 王汝银 |
地址: | 215100 江苏省苏州市吴*** | 国省代码: | 江苏;32 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 面向 web 攻击 测试 收集 系统 基本信息 自动化 方法 | ||
本发明公开了一种面向web攻击测试的收集被测系统基本信息的自动化方法,具体包括以下步骤:1)、采用shell粘合不同测试内容的工具,主shell脚本调用不同工具的shell脚本;2)、分别自动生成不同工具输出文件和日志文件;3)、根据输出文件和日志文件提取工具输出中的关注点信息或基于工具输出生成关注点信息;4)、根据关注点信息自动生成综合报告;5)、以所测产品的名称为参数调用主shell脚本。本发明采用shell脚本粘合不同测试内容的工具,能够减少测试过程的时间浪费,提高报告分析的时间占比,从而改善智力资源分配方式并提高效率。与商用的自动化软件相比,功能增强更容易,新工具支持更快捷。
技术领域
本发明涉及网络安全技术领域,具体地说是一种面向web攻击测试的收集被测系统基本信息的自动化方法。
背景技术
在网络安全领域,web攻击测试往往要组合使用大量的面向不同测试内容的工具。对用到的这些工具的输出的汇总整理及交叉分析,一般都要手动完成;并且测试过程要来回切换图形界面或键入命令行命令。也有一些商用软件提供了自动化执行的功能,并且使用了GUI层、逻辑层和数据库层的分层架构。确实给攻击测试人员带来了很大的便利;但也带来了扩展较困难的问题,例如对不断推出的新工具的及时支持上。
发明内容
本发明的目的在于提供一种面向web攻击测试的收集被测系统基本信息的自动化方法,降低了对资深安全测评人员的智力资源占用,提高了攻击测试的效率,还实现了攻击过程的无人值守。
本发明解决其技术问题所采取的技术方案是:一种面向web攻击测试的收集被测系统基本信息的自动化方法,其特征是,具体包括以下步骤:
1)、采用shell粘合不同测试内容的工具,主shell脚本调用不同工具的shell脚本;
2)、分别自动生成不同工具输出文件和日志文件;
3)、根据输出文件和日志文件提取工具输出中的关注点信息或基于工具输出生成关注点信息;
4)、根据关注点信息自动生成综合报告;
5)、以所测产品的名称为参数调用主shell脚本。
进一步地,步骤1)操作的具体实现过程包括:
11)、将不同测试内容的工具封装成shell脚本;
12)、在主shell脚本中将公共的输出文件目录设置为环境变量;
13)、依次调用封装工具的shell脚本;
14)、通过命令行命令传入参数。
进一步地,不同测试内容的工具包括同一工具的不同命令行选项组合和不同的工具。
进一步地,步骤12)操作中公共的输出文件目录设置为环境变量的方法具体包括:
121)、在主shell脚本定义OUT_PATH变量,保证目录确实存在;
122)、将OUT_PATH设置为环境变量;
123)、在包含Linux命令行界面下启动工具的命令行命令的shell文件中使用OUT_OATH作为输出目录的一部分,从而达到共享输出目录的目的。
进一步地,步骤13)操作中调用封装工具的shell脚本采用sh命令。
进一步地,步骤2)操作中输出文件记录每个工具的输出;日志文件记录所有工具的执行过程。
进一步地,步骤3)操作中关注点信息为匹配到的带关键字的行;
关注点信息的提取方法为:通过grep关键字,匹配到安全测试工具的输出关键字。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于苏州浪潮智能科技有限公司,未经苏州浪潮智能科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710434400.7/2.html,转载请声明来源钻瓜专利网。