[发明专利]自动生成POC脚本的方法

说明书

技术领域

本发明涉及网络安全技术领域，具体涉及一种自动生成POC脚本的方法。

背景技术

随着信息化时代的发展，国家进入了互联网时代，同时国家重视网络安全空间发展，所以各大安全平台应运而生，但是由于安全技术需要极强的时间和技术积淀，所以中国形成了一家独大的特点，因此大型安全公司忽视白帽能力和需求，要求统一语言，规范等，增加白帽提交漏洞插件成本，出现了一种尴尬的结果：具有实力的白帽不屑于花时间来获取该报酬，希望提交插件换取报酬的白帽又不具备足够的开发能力，该框架有效的解决了该问题。

发明内容

本发明克服了现有技术的不足，提供一种自动生成POC脚本的方法，旨在降低产品研发成员研发成本，简化工作量。

考虑到现有技术的上述问题，根据本发明公开的一个方面，本发明采用以下技术方案：

一种自动生成POC脚本的方法，包括：

选择黑盒插件和/或攻击载荷添加至POC生成页面；

所述黑盒插件和/或攻击载荷分别生成测试脚本源码；

自动收集并调用生成的测试脚本源码，再攻击目标靶机，在攻击成功的情况下，则将对应脚本存入POC脚本数据库并将脚本通过的信息反馈用户；

在攻击失败的情况下，则将相应脚本放入人工校准数据库，然后进行字段调试，再进行攻击测试，对攻击成功的脚本放入POC脚本数据库，反之则废弃脚本，以及向用户反馈脚本是否通过的信息。

为了更好地实现本发明，进一步的技术方案是：

根据本发明的一个实施方案所述黑盒插件的添加方式包括：

填写调用命令；

填写返回攻击成功特征值值；

上传黑盒插件；

填写目标靶机IP或域名。

根据本发明的另一个实施方案，将所述黑盒插件置于对应目录后，调用命令和特征值信息自动生成测试脚本源码。

本发明还可以是：

根据本发明的另一个实施方案，所述攻击载荷的添加方式包括：

填写攻击载荷；

选择报文传输方式；

填写返回攻击成功特征值；

填写目标靶机IP或域名；

生成测试脚本源码。

与现有技术相比，本发明的有益效果之一是：

本发明的一种自动生成POC脚本的方法，具有：

1、降低部门员工研发成本，从需要编写逻辑代码，变成填关键模块信息；

2、降低网络白帽提供POC门槛，只需要填写关键模块信息，不需要为适应该引擎接口，额外学习；

3、自动化进行脚本测试，降低人工测试成本，高效实时监测脚本质量，给成功白帽提供及时反馈，增加平台白帽群体用户量。

附图说明

为了更清楚的说明本申请文件实施例或现有技术中的技术方案，下面将对实施例或现有技术的描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅是对本申请文件中一些实施例的参考，对于本领域技术人员来讲，在不付出创造性劳动的情况下，还可以根据这些附图得到其它的附图。

图1为根据本发明一个实施例的自动生成POC脚本流程示意图。

具体实施方式

下面结合实施例对本发明作进一步地详细说明，但本发明的实施方式不限于此。

如图1所示，图1示出了根据本发明一个实施例的自动生成POC脚本流程，一种自动生成POC脚本的方法，具体地：

步骤1、POC生产者进入POC生成页面；

步骤2、选择POC生成方式(分为：添加黑盒插件、添加攻击载荷。)；

步骤3、添加黑盒插件：a填写调用命令，b填写返回攻击成功特征值值，c上传黑盒插件，d填写目标靶机IP或域名；

步骤4、黑盒插件放入对应目录，调用命令和特征值信息自动生成测试脚本源码；

步骤5、添加攻击载荷：a填写攻击载荷，b选择报文传输方式(如：post，get等)，c填写返回攻击成功特征值，d填写目标靶机IP或域名，e生成测试脚本源码；

步骤6、自动校准，自动化调用自动生成的攻击脚本或插件，攻击目标靶机，如果攻击成功，脚本存入POC脚本数据库，反馈用户脚本通过；如果校准失败，进入人工校准数据库；

步骤7、人工提取人工校准数据库脚本，进行字段调试，完成后进行攻击测试，成功则将脚本放入POC脚本数据库，反馈用户脚本通过，失败废弃脚本，反馈用户脚本未通过；

步骤8、流程结束。