[发明专利]自动化渗透测试方法及系统

说明书

技术领域

本发明是关于渗透防御映射对照技术、漏洞渗透智能逻辑控制技术和信息转化翻译技术领域，特别涉及自动化渗透测试方法及系统。

背景技术

随着互联网各种应用的快速发展(网上银行、电子商务、个人空间、微博、大数据、云存储等)不断深入人们的生活，如果这些承载着大量信息的互联网应用存在不安全隐患，被攻击者恶意利用，那么个人信息、甚至是整个应用系统都会面临安全风险。

随着承载着纷杂多样且海量数据信息的互联网应用的蓬勃发展，大家也越来越关注互联网应用信息安全。对于通常的互联网应用管理员来说，基于安全的管理占用大量的工作时间且需要熟知攻防技术知识并不断研究新的方法和技术。目前公知的各种漏洞安全工具入门门槛高，这对于管理员来讲挑战是很大的，且从漏洞发现到漏洞利用等测试需要花费很大的人工成本。

综上，在现有技术中渗透测试的方法都是基于半工具、半人工。而且从漏洞发掘到漏洞利用等测试需要耗费大量的时间，多次运行，还需要人工输入命令和使用不同工具的一步一步配置环境来进行渗透测试。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一种将任何渗透测试过程中用到的技术手段，包括信息收集、漏洞扫描、漏洞利用、渗透测试结果报告生成之后的权限控制手段，全部自动化的一种更高效、准确的渗透技术。为解决上述技术问题，本发明的解决方案是：

提供自动化渗透测试方法，具体包括下述步骤：

步骤一：配置系统参数信息，并保存在数据库内；参数信息包括：系统操作日志、字典、更新记录；

步骤二：建立管理员用户和普通用户用于登录后，使用管理员用户或普通用户登录，设定需要渗透的目标工程，进行目标工程的创建，设定目标工程采用的测试扫描方式，并将配置信息保存在数据库内；配置信息包括：工程名称、扫描地址、扫描方式、策略选择和高级参数；

所述扫描方式包括全自动渗透、web扫描(web扫描是指利用web应用弱点扫描器webscan，配置web漏洞扫描策略进行渗透)、弱口令扫描(弱口令扫描是指利用暴力密码破解工具，口令字典进行渗透)和主机扫描(主机扫描是指利用缓冲区溢出工具，主机溢出策略进行渗透)；全自动渗透包含web扫描、弱口令扫描、主机扫描；

所述策略选择包括自动识别策略、自定义策略；策略是指预先定义每种漏洞类型中每个指定漏洞攻击的有效负载(payload)，并保存在数据库中；

所述高级参数包括扫描超时设置、扫描发包时间间隔设置、扫描ids绕过设置、指定cookie设置、sql注入替换设置和http认证信息设置；

步骤三：使用目标工程中配置的扫描方式，利用扫描工具进行目标工程漏洞扫描、识别及归类；

步骤四：使用目标工程中配置的策略，利用步骤三中识别的漏洞，进行目标工程渗透测试，渗透测试方法包括sql注入、缓冲区溢出、暴力破解、主机信息探测与收集；

步骤五：将步骤三、步骤四中获得的渗透测试结果，通过结果展示模块输出。

在本发明中，所述数据库采用MYSQL数据库。

在本发明中，所述扫描工具包括：主机扫描工具、弱口令扫描工具、web应用弱点扫描工具webscan、缓冲区溢出工具和暴力破解工具。

在本发明中，所述自动化渗透测试系统默认初始用户超级管理员，具备最高权限。

在本发明中，所述步骤四中的渗透测试类型包括人工渗透测试和自动渗透测试；人工渗透测试是指利用渗透攻击工具，根据漏洞扫描模块扫描的漏洞进行关联分析，根据分析的结果进行sql注入、溢出、暴力破解的渗透测试；自动渗透测试是指系统根据策略自动尝试渗透攻击测试，攻击方式包括暴力破解、sql注入、溢出。

提供基于所述的自动化渗透测试方法的自动化渗透测试系统，包括系统管理模块、工程管理模块、漏洞扫描模块、渗透测试模块、结果展示模块；

所述系统管理模块用于管理自动化渗透测试系统中的登录用户、系统更新和系统基本设置，通过超级管理员登陆，进行用户账号的添加、删除和修改，以及系统设置；

所述工程管理模块用于管理目标工程的信息，包括对目标工程进行创建，配置信息并保存在数据库里；配置信息包括：工程名称、扫描地址、地址说明、扫描方式、策略选择和高级参数；

所述漏洞扫描模块用于在启动目标工程扫描后，执行目标工程漏洞扫描、识别及归类(工程目标扫描地址在系统后台进行信息收集与分析后进入漏洞扫描模块，在漏洞扫描模块中使用漏洞库中的脚本检查目标工程扫描地址是否存在漏洞；漏洞扫描模块是集成第三方工具实现)；