[发明专利]自动化渗透测试方法及系统在审
| 申请号: | 201410381582.2 | 申请日: | 2014-08-05 |
| 公开(公告)号: | CN104200167A | 公开(公告)日: | 2014-12-10 |
| 发明(设计)人: | 张月明;范渊 | 申请(专利权)人: | 杭州安恒信息技术有限公司 |
| 主分类号: | G06F21/57 | 分类号: | G06F21/57 |
| 代理公司: | 杭州中成专利事务所有限公司 33212 | 代理人: | 周世骏 |
| 地址: | 310051 浙江省杭*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及渗透测试,旨在提供自动化渗透测试方法及系统。该自动化渗透测试方法,包括步骤:配置系统参数信息,建立管理员用户和普通用户并登录后设定需要渗透的目标工程,使用目标工程中配置的扫描方式,利用扫描工具进行目标工程漏洞扫描、识别及归类,再进行目标工程渗透测试,最后渗透测试结果输出;该自动化渗透测试系统包括系统管理模块、工程管理模块、漏洞扫描模块、渗透测试模块、结果展示模块。本发明能根据配置信息,将任何渗透测试过程中用到的技术手段,包括信息收集、漏洞扫描、漏洞利用,以及漏洞利用之后的权限控制手段,全部集成、后台处理,实现更高效、准确的全部自动化渗透技术。 | ||
| 搜索关键词: | 自动化 渗透 测试 方法 系统 | ||
【主权项】:
自动化渗透测试方法,其特征在于,具体包括下述步骤:步骤一:配置系统参数信息,并保存在数据库内;参数信息包括:系统操作日志、字典、更新记录;步骤二:建立管理员用户和普通用户用于登录后,使用管理员用户或普通用户登录,设定需要渗透的目标工程,进行目标工程的创建,设定目标工程采用的测试扫描方式,并将配置信息保存在数据库内;配置信息包括:工程名称、扫描地址、扫描方式、策略选择和高级参数;所述扫描方式包括全自动渗透、web扫描、弱口令扫描和主机扫描;全自动渗透包含web扫描、弱口令扫描、主机扫描;所述策略选择包括自动识别策略、自定义策略;策略是指预先定义每种漏洞类型中每个指定漏洞攻击的有效负载,并保存在数据库中;所述高级参数包括扫描超时设置、扫描发包时间间隔设置、扫描ids绕过设置、指定cookie设置、sql注入替换设置和http认证信息设置;步骤三:使用目标工程中配置的扫描方式,利用扫描工具进行目标工程漏洞扫描、识别及归类;步骤四:使用目标工程中配置的策略,利用步骤三中识别的漏洞,进行目标工程渗透测试,渗透测试方法包括sql注入、缓冲区溢出、暴力破解、主机信息探测与收集;步骤五:将步骤三、步骤四中获得的渗透测试结果,通过结果展示模块输出。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术有限公司;,未经杭州安恒信息技术有限公司;许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201410381582.2/,转载请声明来源钻瓜专利网。
