[发明专利]渗透测试方法、设备及存储介质

说明书

本公开提供一种渗透测试方法、设备及存储介质，涉及信息安全技术领域，能够解决现有渗透测试耗时费力的问题，实现渗透测试的自动化，提高渗透测试质量。具体技术方案为：获取目标系统的地址信息和目标系统的特征信息；根据目标系统的特征信息从功能模块库中选择对应的功能模块，功能模块库包括多个互不相同的功能模块；将选择的功能模块按照预设规则组成目标系统的目标攻击链；根据目标系统的地址信息作和目标攻击链对目标系统进行渗透测试。本发明用于渗透测试。

技术领域

本公开涉及信息安全技术领域，尤其涉及渗透测试方法、设备及存储介质。

背景技术

渗透测试是通过模拟恶意黑客的攻击方法来评估计算机网络安全的一种评估方法，这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。换句话说，渗透测试是指渗透人员在不同的位置(如从内网、从外网等位置)利用各种手段对某个特定网络进行测试，以期发现和挖掘系统中存在的漏洞，然后输出渗透测试报告并提交给网络所有者。网络所有者根据渗透测试人员提供的渗透测试报告可以清晰知晓系统中存在的安全隐患和问题。

目前渗透测试人员在执行渗透测试任务时，一般是使用工具对特定的点进行渗透测试，而后将该工具输出的结果进行手工记录，再进行一系列的人工转换后输入到另一个工具中，进行下一个点的渗透测试。这样的渗透测试不仅耗时费力，而且导致渗透测试人员无法集中精力进行业务系统的渗透，进而降低了渗透测试的工作质量。

发明内容

本公开实施例提供一种渗透测试方法、设备及存储介质，能够解决现有渗透测试耗时费力的问题，实现渗透测试的自动化，提高渗透测试质量。所述技术方案如下：

根据本公开实施例的第一方面，提供一种渗透测试方法，该方法包括：

获取目标系统的地址信息和目标系统的特征信息；

根据目标系统的特征信息从功能模块库中选择对应的功能模块，功能模块库包括多个互不相同的功能模块；

将选择的功能模块按照预设规则组成目标系统的目标攻击链；

根据目标系统的地址信息作和目标攻击链对目标系统进行渗透测试。

本公开针对目标系统的具体特征选择对应攻击模块，定制符合具体目标的攻击链，实现攻击链中不同功能模块的数据交互，解决现有渗透测试耗时费力的问题，实现渗透测试的自动化，提高渗透测试质量。

在一个实施例中，将选择的功能模块按照预设规则组成目标系统的攻击链包括：

获取第一功能模块的输出数据声明和第二功能模块的输入数据声明，输入数据声明用于指示功能模块所能接收的输入数据的类型和数据用途，输出数据声明用于指示功能模块所能输出的输出数据的类型和数据用途，第一功能模块位于第二功能模块的上游；

在第一功能模块的输出数据声明与第一功能模块第二的功能模块的输入数据声明匹配时，将第一功能模块与第二功能模块连通。

在一个实施例中，在第一功能模块的输出数据声明与第一功能模块第二的功能模块的输入数据声明匹配时，将第一功能模块与第一功能模块第二的功能模块连通包括：

判断第一功能模块的输出数据的类型是否与第二功能模块的输入数据的类型是否相同，且第二功能模块的输出数据的数据用途是否包含第一功能模块的输出数据的数据用途；

在第一功能模块的输出数据的类型与第二功能模块的输入数据的类型相同，且第二功能模块的输出数据的数据用途包含第一功能模块的输出数据的数据用途时，将第一功能模块与第一功能模块第二的功能模块连通。

在一个实施例中，该方法还包括：