[发明专利]自动化渗透测试方法及系统

权利要求书

1.自动化渗透测试方法，其特征在于，具体包括下述步骤：

步骤一：配置系统参数信息，并保存在数据库内；参数信息包括：系统操作日志、字典、更新记录；

步骤二：建立管理员用户和普通用户用于登录后，使用管理员用户或普通用户登录，设定需要渗透的目标工程，进行目标工程的创建，设定目标工程采用的测试扫描方式，并将配置信息保存在数据库内；配置信息包括：工程名称、扫描地址、扫描方式、策略选择和高级参数；

所述扫描方式包括全自动渗透、web扫描、弱口令扫描和主机扫描；全自动渗透包含web扫描、弱口令扫描、主机扫描；

所述策略选择包括自动识别策略、自定义策略；策略是指预先定义每种漏洞类型中每个指定漏洞攻击的有效负载，并保存在数据库中；

所述高级参数包括扫描超时设置、扫描发包时间间隔设置、扫描ids绕过设置、指定cookie设置、sql注入替换设置和http认证信息设置；

步骤三：使用目标工程中配置的扫描方式，利用扫描工具进行目标工程漏洞扫描、识别及归类；

步骤四：使用目标工程中配置的策略，利用步骤三中识别的漏洞，进行目标工程渗透测试，渗透测试方法包括sql注入、缓冲区溢出、暴力破解、主机信息探测与收集；

步骤五：将步骤三、步骤四中获得的渗透测试结果，通过结果展示模块输出。

2.根据权利要求1所述的自动化渗透测试方法，其特征在于，所述数据库采用MYSQL数据库。

3.根据权利要求1所述的自动化渗透测试方法，其特征在于，所述扫描工具包括：主机扫描工具、弱口令扫描工具、web应用弱点扫描工具webscan、缓冲区溢出工具和暴力破解工具。

4.根据权利要求1所述的自动化渗透测试方法，其特征在于，所述自动化渗透测试系统默认初始用户超级管理员，具备最高权限。

5.根据权利要求1所述的自动化渗透测试方法，其特征在于，所述步骤四中的渗透测试类型包括人工渗透测试和自动渗透测试；人工渗透测试是指利用渗透攻击工具，根据漏洞扫描模块扫描的漏洞进行关联分析，根据分析的结果进行sql注入、溢出、暴力破解的渗透测试；自动渗透测试是指系统根据策略自动尝试渗透攻击测试，攻击方式包括暴力破解、sql注入、溢出。

6.基于权利要求1所述的自动化渗透测试方法的自动化渗透测试系统，其特征在于，包括系统管理模块、工程管理模块、漏洞扫描模块、渗透测试模块、结果展示模块；

所述系统管理模块用于管理自动化渗透测试系统中的登录用户、系统更新和系统基本设置，通过超级管理员登陆，进行用户账号的添加、删除和修改，以及系统设置；

所述工程管理模块用于管理目标工程的信息，包括对目标工程进行创建，配置信息并保存在数据库里；配置信息包括：工程名称、扫描地址、地址说明、扫描方式、策略选择和高级参数；

所述漏洞扫描模块用于在启动目标工程扫描后，执行目标工程漏洞扫描、识别及归类；

所述渗透测试模块用于在启动目标工程渗透测试后，利用漏洞扫描模块获得的漏洞信息，采用所选策略进行渗透测试；

所述结果展示模块用于在渗透测试完成后，根据渗透测试结果，对渗透测试结果进行格式化信息处理，将格式转换为用户可视的格式。

7.根据权利要求6所述的自动化渗透测试系统，其特征在于，所述用户分为超级管理员、管理员、普通用户；超级管理员登陆能进行用户账号的添加、删除和修改，以及系统设置；普通用户登陆能进行基本设置，包括修改密码。

8.根据权利要求6所述的自动化渗透测试系统，其特征在于，所述格式化信息处理是指将渗透测试获取的信息，包括漏洞类型、漏洞等级、漏洞分布及漏洞利用结果，进行归纳和整理后输出为文本形式的文档。