[发明专利]渗透测试方法、装置、计算机设备及存储介质

说明书

本发明公开了渗透测试方法、装置、计算机设备及存储介质。方法包括：根据信息扫描模型对与指向信息对应的待测试系统进行扫描仪获取对应的特征信息，根据关键字匹配库获取漏洞信息库中与特征信息相匹配的目标漏洞，根据渗透测试模型对待测试系统的特征信息进行系统测试以得到系统测试结果，若系统测试为通过，根据目标漏洞对待测试系统进行验证得到第一漏洞验证结果，根据目标漏洞及漏洞信息库对待测试系统进行扩展验证得到第二漏洞验证结果，根据第一漏洞验证结果及第二漏洞验证结果生成测试报告。本发明基于漏洞验证技术，可提高对待测试系统所包含安全隐患进行渗透测试的覆盖面，大幅提高了渗透测试的效率及准确性。

技术领域

本发明涉及计算机技术领域，尤其涉及一种渗透测试方法、装置、计算机设备及存储介质。

背景技术

在对待测试系统进行渗透测试过程中，需使用多种不同的分析测试工具进行测试，不同的分析测试工具的工作原理、功能、测试方式等都存在区别，因此待测试系统中不同的模块及测试阶段适用不同的分析测试工具，待测试系统中可能包含各种各样的漏洞，传统渗透测试方法均是通过人工选择的方式选择得到所需的分析测试工具，以完成对待测试系统的渗透测试，然而人工选择的方式需耗费大量时间，且无法准确、高效地选择得到与待测试系统相匹配的分析测试工具，导致无法对待测试系统所包含的安全隐患进行全覆盖测试。因而，现有的渗透测试方法存在无法对待测试系统所包含的安全隐患进行全覆盖测试的问题。

发明内容

本发明实施例提供了一种渗透测试方法、装置、计算机设备及存储介质，旨在解决现有技术方法所存在的无法对待测试系统所包含的安全隐患进行全覆盖测试的问题。

第一方面，本发明实施例提供了一种渗透测试方法，其包括：

若接收到指向信息，根据预置的信息扫描模型对与所述指向信息对应的待测试系统进行扫描以获取所述待测试系统的特征信息；

根据预置的关键字匹配库获取预置的漏洞信息库中与所述特征信息相匹配的目标漏洞；

根据预置的渗透测试模型对所述待测试系统的特征信息进行系统测试以得到系统测试结果；

若系统测试结果为测试通过，根据所述目标漏洞对所述待测试系统进行验证以得到第一漏洞验证结果；

根据所述目标漏洞及所述漏洞信息库对所述待测试系统进行扩展验证以得到第二漏洞验证结果；

根据所述第一漏洞验证结果及所述第二漏洞验证结果生成所述待测试系统的测试报告并进行反馈。

第二方面，本发明实施例提供了一种渗透测试装置，其包括：

特征信息获取单元，用于若接收到指向信息，根据预置的信息扫描模型对与所述指向信息对应的待测试系统进行扫描以获取所述待测试系统的特征信息；

目标漏洞获取单元，用于根据预置的关键字匹配库获取预置的漏洞信息库中与所述特征信息相匹配的目标漏洞；

系统测试结果获取单元，用于根据预置的渗透测试模型对所述待测试系统的特征信息进行系统测试以得到系统测试结果；

第一漏洞验证单元，用于若系统测试结果为测试通过，根据所述目标漏洞对所述待测试系统进行验证以得到第一漏洞验证结果；

第二漏洞验证单元，用于根据所述目标漏洞及所述漏洞信息库对所述待测试系统进行扩展验证以得到第二漏洞验证结果；

测试报告生成单元，用于根据所述第一漏洞验证结果及所述第二漏洞验证结果生成所述待测试系统的测试报告并进行反馈。

第三方面，本发明实施例又提供了一种计算机设备，其包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述第一方面所述的渗透测试方法。