【技術實現步驟摘要】
本專利技術涉及安全檢測領域,特別涉及一種滲透測試的測試方法及測試系統。
技術介紹
1、在現代信息技術飛速發展的背景下,網絡安全已成為一個極具挑戰的領域。針對日益增加的網絡攻擊威脅,滲透測試被廣泛應用于評估和提升信息系統的安全性。然而,現有的自動化和人工滲透測試方法在效率和安全性方面均面臨諸多限制。
2、當前市場上的自動化滲透測試工具通常依賴預設的腳本和固定流程。這種方法雖然在一定程度上簡化了滲透測試的執行,但仍然嚴重依賴于人工的干預和配置。這使得滲透測試的效果往往取決于測試人員的專業知識和經驗水平,導致測試結果的不確定性和可變性,難以達到標準化和量化評估的要求。因此,存在待改進之處。
技術實現思路
1、本專利技術的目的在于提供一種滲透測試的測試方法及測試系統,能夠提升滲透測試的效率與安全性。
2、為解決上述技術問題,本專利技術是通過以下技術方案實現的:
3、本專利技術提供了一種滲透測試的測試方法,包括:
4、獲取信息更新事件,判斷所述信息更新事件的類型:
5、當所述信息更新事件為固有信息更新事件時,根據所述固有信息更新事件的更新內容,選擇并執行對應的固有測試任務,在完成固有測試任務之后,更新對應的資產業務信息,并發布業務信息更新事件;
6、當所述信息更新事件為業務信息更新事件時,根據所述業務信息更新事件的更新內容,選擇并執行對應的業務測試任務,在完成業務測試任務之后,進入后滲透流程;
7、在進入所述
8、在本專利技術一實施例中,所述獲取信息更新事件的步驟包括:
9、探測目標網絡中電子設備的網絡資產信息;
10、當掃描到的新的網絡資產信息時,更新對應的資產固有信息或資產業務信息,并發布對應的固有信息更新事件或業務信息更新事件。
11、在本專利技術一實施例中,所述根據所述固有信息更新事件的更新內容,選擇并執行對應的固有測試任務,在完成固有測試任務之后,更新對應的資產業務信息,并發布業務信息更新事件的步驟包括:
12、判斷所述固有信息更新事件對應的資產固有信息的更新內容:
13、在所述資產固有信息的更新內容包括ip地址、端口以及通信協議中的一個時,根據更新內容選擇并執行密碼碰撞測試任務,在完成所述密碼碰撞測試任務之后,更新對應的資產業務信息,并發布對應的業務信息更新事件;
14、在所述資產固有信息的更新內容包括網站信息的協議類型時,根據更新內容選擇并執行爬蟲測試任務,在完成所述爬蟲測試任務之后,更新對應的資產業務信息,并發布對應的業務信息更新事件。
15、在本專利技術一實施例中,所述在所述資產固有信息的更新內容包括ip地址、端口以及通信協議中的一個時,根據更新內容選擇并執行密碼碰撞測試任務,在完成所述密碼碰撞測試任務之后,更新對應的資產業務信息,并發布對應的業務信息更新事件的步驟包括:
16、判斷對應的電子設備是否需要通過密碼登陸:
17、若不需要通過密碼登陸,則通過測試;若需要通過密碼登陸,根據所述資產固有信息的ip地址、端口以及通信協議的更新內容選擇并執行密碼碰撞測試任務,根據預設的密碼庫中的密碼數據依次進行登陸,并判斷是否登陸成功:
18、若登陸失敗,則通過測試;
19、若登陸成功,則根據登陸成功的用戶名及密碼數據更新對應的資產業務信息,并發布對應的業務信息更新事件。
20、在本專利技術一實施例中,所述在所述資產固有信息的更新內容包括網站信息的協議類型時,根據更新內容選擇并執行爬蟲測試任務,在完成所述爬蟲測試任務之后,更新對應的資產業務信息,并發布對應的業務信息更新事件的步驟包括:
21、判斷所述資產固有信息的網站信息的協議類型:
22、若所述協議類型不是基于超文本傳輸協議的協議,則通過測試;若所述協議類型是基于超文本傳輸協議的協議,則根據所述超文本傳輸協議的協議選擇并執行爬蟲測試任務,并判斷是否爬取到網絡資源標識符及其參數:
23、若未爬取到所述網絡資源標識符及其參數,則通過測試;
24、若爬取到所述網絡資源標識符及其參數,則根據所述網絡資源標識符及其參數的更新內容更新對應的資產業務信息,并發布對應的業務信息更新事件。
25、在本專利技術一實施例中,所述當所述信息更新事件為業務信息更新事件時,根據所述業務信息更新事件的更新內容,選擇并執行對應的業務測試任務,在完成業務測試任務之后,進入后滲透流程的步驟包括:
26、判斷所述業務信息更新事件對應的資產業務信息的更新內容:
27、在所述資產業務信息的更新內容包括網絡資源標識符及其參數中的一個時,根據更新內容選擇并執行模糊測試任務,并在完成所述模糊測試任務之后,進入后滲透流程;
28、在所述資產業務信息的更新內容包括用戶名及密碼數據中的一個時,根據更新內容選擇并執行登陸滲透測試任務,并在完成所述登陸滲透測試任務之后,進入后滲透流程。
29、在本專利技術一實施例中,所述在所述資產業務信息的更新內容包括網絡資源標識符及其參數中的一個時,根據更新內容選擇并執行模糊測試任務,并在完成所述模糊測試任務之后,進入后滲透流程的步驟包括:
30、判斷所述資產業務信息的網絡資源標識符及其參數是否更新:
31、若未更新,則通過測試;若更新,則根據更新后的網絡資源標識符選擇并執行模糊測試任務,并判斷是否檢測到模糊測試風險;
32、若未檢測,則通過測試;
33、若檢測到,則獲取對應的模糊測試風險,以進入后滲透流程。
34、在本專利技術一實施例中,所述在所述資產業務信息的更新內容包括用戶名及密碼數據中的一個時,根據更新內容選擇并執行登陸滲透測試任務,并在完成所述登陸滲透測試任務之后,進入后滲透流程的步驟包括:
35、判斷所述資產業務信息的用戶名及密碼數據是否更新:
36、若未更新,則通過測試;若更新,則根據更新后的用戶名及密碼數據選擇并執行登陸滲透測試任務,并判斷是否成功登陸滲透:
37、若未成功登陸滲透,則通過測試;
38、若成功登陸滲透,則進入后滲透流程。
39、在本專利技術一實施例中,所述方法還包括:
40、將所述信息更新事件當中的固有信息更新內容和/或業務信息更新內容與預設的漏洞庫進行比較:
41、當漏洞庫中不存在漏洞內容與所述固有信息更新內容和/或業務信息更新內容一致時,則通過測試;
42、否則,則根據一致的漏洞內容,選擇并執行漏洞利用測試任務,并判斷是否成功利用對應的漏洞:
43、若未成功利用,則通過測試;
44、若成功利用,則獲取對應的漏洞,以進入后滲透流程。
45、本專利技術還提供了一種滲透測試的測試系統,包括:
46、判斷模塊,用于獲本文檔來自技高網...
【技術保護點】
1.一種滲透測試的測試方法,其特征在于,包括:
2.根據權利要求1所述的滲透測試的測試方法,其特征在于,所述獲取信息更新事件的步驟包括:
3.根據權利要求1所述的滲透測試的測試方法,其特征在于,所述根據所述固有信息更新事件的更新內容,選擇并執行對應的固有測試任務,在完成固有測試任務之后,更新對應的資產業務信息,并發布業務信息更新事件的步驟包括:
4.根據權利要求3所述的滲透測試的測試方法,其特征在于,所述在所述資產固有信息的更新內容包括IP地址、端口以及通信協議中的一個時,根據更新內容選擇并執行密碼碰撞測試任務,在完成所述密碼碰撞測試任務之后,更新對應的資產業務信息,并發布對應的業務信息更新事件的步驟包括:
5.根據權利要求3所述的滲透測試的測試方法,其特征在于,所述在所述資產固有信息的更新內容包括網站信息的協議類型時,根據更新內容選擇并執行爬蟲測試任務,在完成所述爬蟲測試任務之后,更新對應的資產業務信息,并發布對應的業務信息更新事件的步驟包括:
6.根據權利要求1所述的滲透測試的測試方法,其特征在于,所述當所述信息更新
7.根據權利要求6所述的滲透測試的測試方法,其特征在于,所述在所述資產業務信息的更新內容包括網絡資源標識符及其參數中的一個時,根據更新內容選擇并執行模糊測試任務,并在完成所述模糊測試任務之后,進入后滲透流程的步驟包括:
8.根據權利要求6所述的滲透測試的測試方法,其特征在于,所述在所述資產業務信息的更新內容包括用戶名及密碼數據中的一個時,根據更新內容選擇并執行登陸滲透測試任務,并在完成所述登陸滲透測試任務之后,進入后滲透流程的步驟包括:
9.根據權利要求1所述的滲透測試的測試方法,其特征在于,所述方法還包括:
10.一種滲透測試的測試系統,其特征在于,包括:
...【技術特征摘要】
1.一種滲透測試的測試方法,其特征在于,包括:
2.根據權利要求1所述的滲透測試的測試方法,其特征在于,所述獲取信息更新事件的步驟包括:
3.根據權利要求1所述的滲透測試的測試方法,其特征在于,所述根據所述固有信息更新事件的更新內容,選擇并執行對應的固有測試任務,在完成固有測試任務之后,更新對應的資產業務信息,并發布業務信息更新事件的步驟包括:
4.根據權利要求3所述的滲透測試的測試方法,其特征在于,所述在所述資產固有信息的更新內容包括ip地址、端口以及通信協議中的一個時,根據更新內容選擇并執行密碼碰撞測試任務,在完成所述密碼碰撞測試任務之后,更新對應的資產業務信息,并發布對應的業務信息更新事件的步驟包括:
5.根據權利要求3所述的滲透測試的測試方法,其特征在于,所述在所述資產固有信息的更新內容包括網站信息的協議類型時,根據更新內容選擇并執行爬蟲測試任務,在完成所述爬蟲測試任務之后,更新對應的資產業務信息,并發布對應...
【專利技術屬性】
技術研發人員:汪東,曾小勇,王紫曦,
申請(專利權)人:上海數字安全科技有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。