[发明专利]用于渗透测试和漏洞修复的信息系统及其方法

说明书

一种用于渗透测试和漏洞修复的信息系统及其方法，包括目标系统渗透单元，用于利用漏洞装置来渗透目标系统；中间终端与所述用于渗透测试和漏洞修复的信息系统处在同一办公室或工作室里，所述中间终端和所述用于渗透测试和漏洞修复的信息系统均与客户方的接收终端连接。所述若干电子文献能同步传递，能对各个电子文献构造一握手链接，亦能若干电子文献共用一握手链接。有效避免了现有技术中会耗费不少的CPU和内存的使用率致使使用性能不佳、而伴着测试终端或中间终端不停的加多目前的传递模式致使同步传递电子文献一或漏洞修补单元的性能受到很大限制的缺陷。

技术领域

本发明涉及信息系统技术领域，也属于渗透测试技术领域，还属于漏洞修复技术领域，具体涉及一种用于渗透测试和漏洞修复的信息系统及其方法。

背景技术

渗透测试的定义按照国外一些安全组织达成共识的通用说法是：渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说，比如在Intel Pentium芯片中存在的逻辑错误，在Sendmail早期版本中的编程错误，在NFS协议中认证方式上的弱点，在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用，威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞。

另外，目前网络上出现了越来越多的cracker，他们入侵计算机系统，使用扫描器到处乱扫，用IP炸弹炸人家，毫无目的地入侵，破坏着，他们并无益于电脑技术的发展，反而有害于网络的安全和造成网络瘫痪，给人们带来巨大的经济和精神损失。攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击或信息炸弹；破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。

为了解决上述问题，就有了一种系统渗透测试的方法，包括：

S1.使用多种公共资源，获取系统的测试目标信息；

S2.提取系统测试目标的网络信息；

S3.探测系统的在线的网络主机信息；

S4.对系统所有的开放端口进行扫描，通过所述的所有的端口枚举所有的服务来定位和分析目标系统中的漏洞；

S5.利用漏洞装置来渗透目标系统。

该系统渗透测试的方法中，所述的扫描包括：全库扫描、半开扫描、隐蔽式扫描。

该系统渗透测试的方法中，包括对系统层的漏洞扫描以及对web应用层的漏洞扫描，其中,对系统层的漏洞扫描是:采用漏洞扫描工具进行扫描,所述的漏洞扫描工具包括:x-scan扫描器、nessus扫描器、hscan扫描器；对web应用层的漏洞扫描是，采用HP的WebInspect扫描器、Ibm的Appscan扫描器、WVS以及JSKY应用层扫描器进行扫描。

该系统渗透测试的方法中，所述网络信息包括：DNS服务器、路由追踪、Whois数据库、电子邮件地址、电话号码、个人信息以及用户账户。

该所述的系统渗透测试的方法中，所述的步骤S5还包括步骤S6：利用系统本地漏洞提升权限，获得超级用户权限以及系统权限，从而进一步攻击本地网络。

该系统渗透测试的方法中，所述的步骤S5还包括步骤S7:对所有的漏洞进行修补后，返回步骤S1。

应用该系统渗透测试的方法的系统渗透测试的装置，包括：

目标信息获取单元，用于使用多种公共资源，获取系统的测试目标信息；