本發明專利技術公開了一種開放式安全合規性滲透測試系統,該系統包括:數據包解析模塊、自動化fuzz引擎、自定義payload模塊、報告生成模塊和工作調度模塊;其中數據包解析模塊:將http協議數據包,以txt文本格式輸入,通過該模塊解析為可供測試的結構化數據;自動化fuzz引擎:采用tcp協議與被測接口進行數據交互,同時異步化程序執行流程,可以將設備資源利用率與測試效率最大化。采用本發明專利技術構建的滲透測試工具,將使安全測試人員通過簡單的定義輸入輸出與結果判定規則,快速高效的制定出安全合規性檢查項,提高對業務系統接口的測試覆蓋率,并且大幅縮短測試時間。
【技術實現步驟摘要】
一種開放式安全合規性滲透測試系統
本專利技術涉及一種測試系統,特別涉及一種開放式安全合規性滲透測試系統。
技術介紹
在現有技術中,最相近的現有技術方案是PortSwigger公司的BurpSuite產品。現有技術方案雖能手工完成部分滲透測試工作,但如果測試的系統頁面及參數繁多并復雜,現有技術方案會導致以下2個問題:1:并不能夠在短時期內完成測試所有系統頁面和參數。2:若選擇性測試部分頁面和參數,會導致遺漏安全問題。存在問題1的原因是BurpSuite沒有全自動的檢查所有系統參數的能力。存在問題2的原因是BurpSuite產品嚴重依賴于測試者的技術能力,資深的技術專家憑經驗就能挑選可能存在的脆弱點進行測試,而不是全面的測試所有系統參數,這會導致安全問題被遺漏的問題。
技術實現思路
本專利技術要解決的技術問題是克服現有技術的缺陷,提供一種開放式安全合規性滲透測試系統。為了解決上述技術問題,本專利技術提供了如下的技術方案:本專利技術一種開放式安全合規性滲透測試系統,該系統包括:數據包解析模塊、自動化fuzz引擎、自定義payload模塊、報告生成模塊和工作調度模塊;其中數據包解析模塊:將http協議數據包,以txt文本格式輸入,通過該模塊解析為可供測試的結構化數據;其中自動化fuzz引擎:采用tcp協議與被測接口進行數據交互,同時異步化程序執行流程,可以將設備資源利用率與測試效率最大化,具體執行過程是,使用socket與服務接口建立連接,通過異步調用的方法,同時建立多個socket請求,在等待網絡返回數據期間,CPU持續夠造發送的數據包,待請求數據返回時,回調對結果處理函數,防止CPU在網絡IO中的阻塞等待,最大化利用CPU與帶寬資源;其中自定義payload模塊:定義了規則輸入模版,使用者僅需簡單的定義,就可以快速生成安全合規性規則;其中報告生成模塊:快速生成滲透測試結果所需的報告格式;測試結果以markdown文本形式保存,使用result命令可以快速渲染出測試結果;工作調度模塊:包括參數解析,自動化工作調度功能,協調以上各模塊工作流程。與現有技術相比,本專利技術的有益效果如下:1:本專利技術對系統所有頁面及相關參數進行自動化的測試,可以提升數倍的效率,節省大量的系統安全測試時間。2:本專利技術對系統所有頁面及相關參數進行全面的測試,確保所有系統參數不被遺漏,不需要技術專家的經驗來選擇參數測試。附圖說明附圖用來提供對本專利技術的進一步理解,并且構成說明書的一部分,與本專利技術的實施例一起用于解釋本專利技術,并不構成對本專利技術的限制。在附圖中:圖1是本專利技術的系統流程示意圖;圖2是本專利技術的http數據包示意圖;圖3是本專利技術的解析為httpParser對象示意圖;圖4是本專利技術的socket建立連接,發送數據示意圖;圖5是本專利技術的規則模板示意圖;圖6是本專利技術的markdown源文件渲染結果示意圖;圖7是本專利技術的markdown源文件示意圖;具體實施方式以下結合附圖對本專利技術的優選實施例進行說明,應當理解,此處所描述的優選實施例僅用于說明和解釋本專利技術,并不用于限定本專利技術。實施例1如圖1-7所示,本專利技術提供一種開放式安全合規性滲透測試系統,該系統包括:數據包解析模塊、自動化fuzz引擎、自定義payload模塊、報告生成模塊和工作調度模塊;其中數據包解析模塊:將http協議數據包,以txt文本格式輸入,通過該模塊解析為可供測試的結構化數據;自動化fuzz引擎:采用tcp協議與被測接口進行數據交互,同時異步化程序執行流程,可以將設備資源利用率與測試效率最大化,具體執行過程是,使用socket與服務接口建立連接,通過異步調用的方法,同時建立多個socket請求,在等待網絡返回數據期間,CPU持續夠造發送的數據包,待請求數據返回時,回調對結果處理函數,防止CPU在網絡IO中的阻塞等待,最大化利用CPU與帶寬資源;其中自定義payload模塊:定義了規則輸入模版,使用者僅需簡單的定義,就可以快速生成安全合規性規則;其中報告生成模塊:快速生成滲透測試結果所需的報告格式;測試結果以markdown文本形式保存,使用result命令可以快速渲染出測試結果;工作調度模塊:包括參數解析,自動化工作調度功能,協調以上各模塊工作流程。具體的,在該系統中包括:數據包解析模塊,自動化fuzz引擎,自定義payload模塊,報告生成模塊和工作調度模塊。數據包解析模塊:將http協議數據包,以txt文本格式輸入,通過該模塊解析為可供測試的結構化數據。例如圖2是典型的http數據請求包,通過httpParser類解析為httpParser對象;自動化fuzz引擎:采用tcp協議與被測接口進行數據交互,使該fuzz引擎不僅限于某種應用協議,測試對象更具有通用性,同時異步化程序執行流程,可以將設備資源利用率與測試效率最大化。具體執行過程是,使用socket與服務接口建立連接,通過異步調用的方法,同時建立多個socket請求,在等待網絡返回數據期間,CPU持續夠造發送的數據包,待請求數據返回時,回調對結果處理函數,防止CPU在網絡IO中的阻塞等待,最大化利用CPU與帶寬資源;自定義payload模塊:定義了規則輸入模版,使用者僅需簡單的定義,就可以快速生成安全合規性規則。以下是規則模板,其中logpath設置掃描過程中產生結果的日志存儲位置;chapter設置測試項標題;details設置測試項詳細描述;rule設置匹配fuzz引擎中獲取的socket返回值,根據定義的特征值匹配返回結果,其中以0開始的表示測試通過規則,1開始的表示測試不通過規則,2表示不適用規則。例如,設置規則為”0alltestedparametersdonotappeartobeinjectable”,解釋為匹配了”0alltestedparametersdonotappeartobeinjectable”字符的結果代表沒有SQL注入問題;result保存測試結果,result=os_command(‘ls’,verbose)設置該測試項目中使用的測試命令;報告生成模塊:快速生成滲透測試結果所需的報告格式;測試結果以markdown文本形式保存,使用result命令可以快速渲染出測試結果;工作調度模塊:包括參數解析,自動化工作調度功能,協調以上各模塊工作流程。采用本專利技術構建的滲透測試工具,將使安全測試人員通過簡單的定義輸入輸出與結果判定規則,快速高效的制定出安全合規性檢查項,提高對業務系統接口的測試覆蓋率,并且大幅縮短測試時間。最后應說明的是:以上所述僅為本專利技術的優選實施例而已,并不用于限制本專利技術,盡管參照前述實施例對本專利技術進行了詳細的說明,對于本領域的技術人員來說,其依然可以對前述各實施例所記載的技術方案進行修改,或者對其中部分技術特征進行等同替換。本文檔來自技高網...
【技術保護點】
1.一種開放式安全合規性滲透測試系統,其特征在于,該系統包括:數據包解析模塊、自動化fuzz引擎、自定義payload模塊、報告生成模塊和工作調度模塊;/n其中數據包解析模塊:將http協議數據包,以txt文本格式輸入,通過該模塊解析為可供測試的結構化數據;/n其中自動化fuzz引擎:采用tcp協議與被測接口進行數據交互,同時異步化程序執行流程,可以將設備資源利用率與測試效率最大化,具體執行過程是,使用socket與服務接口建立連接,通過異步調用的方法,同時建立多個socket請求,在等待網絡返回數據期間,CPU持續夠造發送的數據包,待請求數據返回時,回調對結果處理函數,防止CPU在網絡IO中的阻塞等待,最大化利用CPU與帶寬資源;/n其中自定義payload模塊:定義了規則輸入模版,使用者僅需簡單的定義,就可以快速生成安全合規性規則;/n其中報告生成模塊:快速生成滲透測試結果所需的報告格式;測試結果以markdown文本形式保存,使用result命令可以快速渲染出測試結果;/n工作調度模塊:包括參數解析,自動化工作調度功能,協調以上各模塊工作流程。/n
【技術特征摘要】
1.一種開放式安全合規性滲透測試系統,其特征在于,該系統包括:數據包解析模塊、自動化fuzz引擎、自定義payload模塊、報告生成模塊和工作調度模塊;
其中數據包解析模塊:將http協議數據包,以txt文本格式輸入,通過該模塊解析為可供測試的結構化數據;
其中自動化fuzz引擎:采用tcp協議與被測接口進行數據交互,同時異步化程序執行流程,可以將設備資源利用率與測試效率最大化,具體執行過程是,使用socket與服務接口建立連接,通過異步調用的方法,同時建立多個socket請...
【專利技術屬性】
技術研發人員:周赟,曹嘉寧,許康先,
申請(專利權)人:周赟,曹嘉寧,
類型:發明
國別省市:上海;31
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。