渗透测试方法及装置制造方法及图纸

本发明专利技术提供一种渗透测试方法及装置，应用于包括浏览器的电子终端。方法包括：对待测网站进行扫描，获得待测试的多个目标网站；通过所述浏览器并发地访问每个目标网站，并接收每个目标网站返回的页面文件；渲染并加载接收到的页面文件，对加载后的页面文件截图并保存获得的截图；解析得到加载后的页面文件的代码；根据截图及代码确定每个目标网站的优先级，并按照该优先级对每个目标网站进行渗透测试。如此，可以更加准确可靠地确定待测的目标网站的优先级，进而按照该优先级进行渗透测试。

Method and device for penetration test

The invention provides a method and device for penetration testing, which is applied to an electronic terminal including a browser. Methods include: Web site scanning treatment, multiple target sites get to be tested; through the browser concurrent access to each target site, and receives each target site returns the page file; rendering and receive the page loaded file of the loaded file page screenshot and save the screenshot of loading; after the page file code; identifying each target site according to priority screenshots and code, and according to the priority level for each target site for penetration testing. In this way, the priority of the target site to be measured is more accurately and reliably determined, and then the penetration test is carried out according to this priority.

【技术实现步骤摘要】
渗透测试方法及装置
本专利技术涉及计算机网络
，具体而言，涉及一种渗透测试方法及装置。
技术介绍
渗透测试(PenetrationTest)是通过模拟恶意黑客的攻击方法来评估计算机网络系统安全的一种评估方法。在渗透测试中，需要测试的目标通常不止一个域名或网站，而是许许多多与疑似有漏洞的待测网站相关的网站。虽然目前有许多Web漏洞扫描器可以用于进行渗透测试，但其测试效果往往不佳，因此，人工渗透测试仍旧是必不可少的。尤其是一些业务逻辑上的漏洞，Web漏洞扫描器通常难以扫描到。然而，面对大量的待测试目标，在测试过程中如何确定各个待测试目标的优先级，从而按照该优先级进行测试，以提高测试效率，显得尤其重要。
技术实现思路
有鉴于此，本专利技术的目的在于提供一种渗透测试方法，应用于包括浏览器的电子终端，所述方法包括：对待测网站进行扫描，获得待测试的多个目标网站；通过所述浏览器并发地访问每个所述目标网站，并接收每个所述目标网站返回的页面文件；渲染并加载接收到的页面文件，对加载后的页面文件截图并保存获得的截图；获取与所述页面文件相关联的代码；根据所述截图及所述代码确定每个所述目标网站的优先级，并按本文档来自技高网...

【技术保护点】
一种渗透测试方法，其特征在于，应用于包括浏览器的电子终端，所述方法包括：对待测网站进行扫描，获得待测试的多个目标网站；通过所述浏览器并发地访问每个所述目标网站，并接收每个所述目标网站返回的页面文件；渲染并加载接收到的页面文件，对加载后的页面文件截图并保存获得的截图；获取与所述页面文件相关联的代码；根据所述截图及所述代码确定每个所述目标网站的优先级，并按照所述优先级对每个所述目标网站进行渗透测试。

【技术特征摘要】
1.一种渗透测试方法，其特征在于，应用于包括浏览器的电子终端，所述方法包括：对待测网站进行扫描，获得待测试的多个目标网站；通过所述浏览器并发地访问每个所述目标网站，并接收每个所述目标网站返回的页面文件；渲染并加载接收到的页面文件，对加载后的页面文件截图并保存获得的截图；获取与所述页面文件相关联的代码；根据所述截图及所述代码确定每个所述目标网站的优先级，并按照所述优先级对每个所述目标网站进行渗透测试。2.根据权利要求1所述的方法，其特征在于，所述对待测网站进行扫描，获得待测试的多个目标网站的步骤，包括：扫描待测网站的一级域名，获得该一级域名的多个子域名，并将每个子域名对应的网站作为所述目标网站；扫描待测网站的IP地址的C段和/或B段，获得与该待测网站相关的多个IP地址，并将每个IP地址对应的网站作为所述目标网站。3.根据权利要求1或2所述的方法，其特征在于，所述浏览器为无界面的浏览器。4.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：在渲染接收到的页面文件时，调用预设的脚本文件，对所述页面文件进行刷新，以显示完整的页面。5.根据权利要求1或2所述的方法，其特征在于，根据所述截图及所述代码确定每个所述目标网站的优先级的步骤，包括：从所述代码中提取出页面标题、外部链接信息及报错信息；根据所述截图、页面标题、外部链接及报错信息确定每个所述目标网站的优先级。6.一种渗透测试装置，其特征在于，应用于包括浏览器的电...

【专利技术属性】
技术研发人员：张博，
申请(专利权)人：北京知道创宇信息技术有限公司，
类型：发明
国别省市：北京,11