[发明专利]一种开放式安全合规性渗透测试系统

说明书

本发明公开了一种开放式安全合规性渗透测试系统，该系统包括：数据包解析模块、自动化fuzz引擎、自定义payload模块、报告生成模块和工作调度模块；其中数据包解析模块：将http协议数据包，以txt文本格式输入，通过该模块解析为可供测试的结构化数据；自动化fuzz引擎：采用tcp协议与被测接口进行数据交互，同时异步化程序执行流程，可以将设备资源利用率与测试效率最大化。采用本发明构建的渗透测试工具，将使安全测试人员通过简单的定义输入输出与结果判定规则，快速高效的制定出安全合规性检查项，提高对业务系统接口的测试覆盖率，并且大幅缩短测试时间。

技术领域

本发明涉及一种测试系统，特别涉及一种开放式安全合规性渗透测试系 统。

背景技术

在现有技术中，最相近的现有技术方案是PortSwigger公司的BurpSuite 产品。现有技术方案虽能手工完成部分渗透测试工作，但如果测试的系统页 面及参数繁多并复杂，现有技术方案会导致以下2个问题：

1：并不能够在短时期内完成测试所有系统页面和参数。

2：若选择性测试部分页面和参数，会导致遗漏安全问题。

存在问题1的原因是Burp Suite没有全自动的检查所有系统参数的能力。

存在问题2的原因是Burp Suite产品严重依赖于测试者的技术能力，资深 的技术专家凭经验就能挑选可能存在的脆弱点进行测试，而不是全面的测试 所有系统参数，这会导致安全问题被遗漏的问题。

发明内容

本发明要解决的技术问题是克服现有技术的缺陷，提供一种开放式安全 合规性渗透测试系统。

为了解决上述技术问题，本发明提供了如下的技术方案：

本发明一种开放式安全合规性渗透测试系统，该系统包括：数据包解析 模块、自动化fuzz引擎、自定义payload模块、报告生成模块和工作调度模 块；

其中数据包解析模块：将http协议数据包，以txt文本格式输入，通过 该模块解析为可供测试的结构化数据；

其中自动化fuzz引擎：采用tcp协议与被测接口进行数据交互，同时异 步化程序执行流程，可以将设备资源利用率与测试效率最大化，具体执行过 程是，使用socket与服务接口建立连接，通过异步调用的方法，同时建立多 个socket请求，在等待网络返回数据期间，CPU持续够造发送的数据包，待 请求数据返回时，回调对结果处理函数，防止CPU在网络IO中的阻塞等待， 最大化利用CPU与带宽资源；

其中自定义payload模块：定义了规则输入模版，使用者仅需简单的定 义，就可以快速生成安全合规性规则；

其中报告生成模块：快速生成渗透测试结果所需的报告格式；测试结果 以markdown文本形式保存，使用result命令可以快速渲染出测试结果；

工作调度模块：包括参数解析，自动化工作调度功能，协调以上各模块 工作流程。

与现有技术相比，本发明的有益效果如下：

1：本发明对系统所有页面及相关参数进行自动化的测试，可以提升数倍 的效率，节省大量的系统安全测试时间。

2：本发明对系统所有页面及相关参数进行全面的测试，确保所有系统参 数不被遗漏，不需要技术专家的经验来选择参数测试。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本 发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1是本发明的系统流程示意图；

图2是本发明的http数据包示意图；