[发明专利]一种基于Http请求自动变形的渗透测试方法及系统在审
| 申请号: | 202111275076.1 | 申请日: | 2021-10-29 |
| 公开(公告)号: | CN114244823A | 公开(公告)日: | 2022-03-25 |
| 发明(设计)人: | 唐更新;王小伟;宋辉;赵卫国 | 申请(专利权)人: | 北京中安星云软件技术有限公司 |
| 主分类号: | H04L67/02 | 分类号: | H04L67/02;H04L67/60;H04L9/40;G06F21/57 |
| 代理公司: | 成都鱼爪智云知识产权代理有限公司 51308 | 代理人: | 衡小璐 |
| 地址: | 100000 北京市海淀*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 http 请求 自动 变形 渗透 测试 方法 系统 | ||
1.一种基于Http请求自动变形的渗透测试方法,其特征在于,包括以下步骤:
采集原始API数据;
根据预置的自动变形规则将原始API数据进行组装,以得到目标API请求;
基于目标API请求通过HttpClint5对待测试系统进行渗透测试,生成渗透测试结果;
对渗透测试结果进行解析,以得到解析结果数据,并根据预置的用户配置规则对解析结果数据进行汇总,生成渗透报告。
2.根据权利要求1所述的一种基于Http请求自动变形的渗透测试方法,其特征在于,所述采集原始API数据的方法包括以下步骤:
通过交换机端口镜像、Nginx和/或web端插件采集数据流量;
将数据流量进行解析,以得到原始API数据。
3.根据权利要求1所述的一种基于Http请求自动变形的渗透测试方法,其特征在于,所述根据预置的自动变形规则将原始API数据进行组装,以得到目标API请求的方法包括以下步骤:
录入并根据不同类型的请求设定对应的自动变形规则;
根据原始API数据的类型提取并根据对应的自动变形规则将原始API数据进行组装,以得到目标API请求。
4.根据权利要求1所述的一种基于Http请求自动变形的渗透测试方法,其特征在于,还包括以下步骤:
将渗透报告采用一种或多种信息传输方式发送给测试监测人员。
5.一种基于Http请求自动变形的渗透测试系统,其特征在于,包括数据采集模块、请求组装模块、渗透测试模块以及报告生成模块,其中:
数据采集模块,用于采集原始API数据;
请求组装模块,用于根据预置的自动变形规则将原始API数据进行组装,以得到目标API请求;
渗透测试模块,用于基于目标API请求通过HttpClint5对待测试系统进行渗透测试,生成渗透测试结果;
报告生成模块,用于对渗透测试结果进行解析,以得到解析结果数据,并根据预置的用户配置规则对解析结果数据进行汇总,生成渗透报告。
6.根据权利要求5所述的一种基于Http请求自动变形的渗透测试系统,其特征在于,所述数据采集模块包括流量采集子模块和流量解析子模块,其中:
流量采集子模块,用于通过交换机端口镜像、Nginx和/或web端插件采集数据流量;
流量解析子模块,用于将数据流量进行解析,以得到原始API数据。
7.根据权利要求5所述的一种基于Http请求自动变形的渗透测试系统,其特征在于,所述请求组装模块包括规则设定子模块和组装子模块,其中:
规则设定子模块,用于录入并根据不同类型的请求设定对应的自动变形规则;
组装子模块,用于根据原始API数据的类型提取并根据对应的自动变形规则将原始API数据进行组装,以得到目标API请求。
8.根据权利要求5所述的一种基于Http请求自动变形的渗透测试系统,其特征在于,还包括通知模块,用于将渗透报告采用一种或多种信息传输方式发送给测试监测人员。
9.一种电子设备,其特征在于,包括:
存储器,用于存储一个或多个程序;
处理器;
当所述一个或多个程序被所述处理器执行时,实现如权利要求1-4中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1-4中任一项所述的方法。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京中安星云软件技术有限公司,未经北京中安星云软件技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202111275076.1/1.html,转载请声明来源钻瓜专利网。
