[发明专利]渗透测试方法、装置、计算机设备及存储介质

权利要求书

1.一种渗透测试方法，应用于用户终端，其特征在于，包括：

若接收到指向信息，根据预置的信息扫描模型对与所述指向信息对应的待测试系统进行扫描以获取所述待测试系统的特征信息；

根据预置的关键字匹配库获取预置的漏洞信息库中与所述特征信息相匹配的目标漏洞；

根据预置的渗透测试模型对所述待测试系统的特征信息进行系统测试以得到系统测试结果；

若系统测试结果为测试通过，根据所述目标漏洞对所述待测试系统进行验证以得到第一漏洞验证结果；

根据所述目标漏洞及所述漏洞信息库对所述待测试系统进行扩展验证以得到第二漏洞验证结果；

根据所述第一漏洞验证结果及所述第二漏洞验证结果生成所述待测试系统的测试报告并进行反馈。

2.根据权利要求1所述的渗透测试方法，其特征在于，所述信息扫描模型包括参数扫描规则、服务器扫描规则及源码信息获取规则，所述特征信息包括参数信息、服务器信息及源代码信息，所述根据预置的信息扫描模型对与所述指向信息对应的待测试系统进行扫描以获取所述待测试系统的特征信息，包括：

根据所述参数扫描规则对所述待测试系统进行扫描以获取所述待测试系统所配置的参数信息；

根据所述服务器扫描规则对存储所述待测试系统的服务器进行扫描以获取所述待测试系统的服务器信息；

根据所述源码信息获取规则获取与所述待测试系统对应的源代码信息。

3.根据权利要求1所述的渗透测试方法，其特征在于，所述根据预置的关键字匹配库获取预置的漏洞信息库中与所述特征信息相匹配的目标漏洞，包括：

获取所述关键字匹配库中与所述特征信息相匹配的关键字作为目标关键字；

获取所述漏洞信息库中与所述目标关键字相匹配的漏洞作为目标漏洞。

4.根据权利要求2所述的渗透测试方法，其特征在于，所述根据预置的渗透测试模型对所述待测试系统的特征信息进行系统测试以得到系统测试结果，包括：

判断所述待测试系统的参数信息及服务器信息是否满足所述框架验证规则以得到是否验证通过的框架验证结果；

若所述框架验证结果为验证通过，判断所述待测试系统的源代码信息是否满足所述代码审计规则以得到是否测试通过的系统测试结果。

5.根据权利要求1所述的渗透测试方法，其特征在于，所述根据所述目标漏洞对所述待测试系统进行验证以得到第一漏洞验证结果，包括：

根据所述目标漏洞的运行参数对所述待测试系统进行运行，并获取所述待测试系统的第一接口返回数据；

对所述第一接口返回数据是否与所述目标漏洞的漏洞运行结果一致进行验证以得到是否包含目标漏洞的第一漏洞验证结果。

6.根据权利要求1所述的渗透测试方法，其特征在于，所述根据所述目标漏洞及所述漏洞信息库对所述待测试系统进行扩展验证以得到第二漏洞验证结果，包括：

若所述第一漏洞验证结果为包含目标漏洞，获取所述漏洞信息库中与所述目标漏洞相关联的漏洞以得到关联漏洞；

根据所述关联漏洞的运行参数对所述待测试系统进行运行，并获取所述待测试系统的第二接口返回数据；

对所述第二接口返回数据是否与所述关联漏洞的运行结果一致进行验证以得到是否包含关联漏洞的第二漏洞验证结果。

7.根据权利要求1所述的渗透测试方法，其特征在于，所述根据所述第一漏洞验证结果及所述第二漏洞验证结果生成所述待测试系统的测试报告并进行反馈之后，还包括：

根据所述第一漏洞验证结果及所述第二漏洞验证结果对所述漏洞信息库进行更新。