The embodiment of this application provides a penetration test method and device, which generates an attack chain by testing the terminal. The attack chain includes more than one attack surface to be used, which includes more than one attack plug-in to be used, loads the available attack plug-in to be used in the attack chain, and runs the available attack in turn according to the priority of each attack surface to be used in the attack chain. Click on the plug-in until the penetration target specified by the user is reached; display the results of the penetration test. Through the above design, automatic penetration test can be realized, and the time and manpower cost needed for penetration test can be shortened.
【技术实现步骤摘要】
渗透测试方法及装置
本申请涉及网络安全
,具体而言,涉及一种渗透测试方法及装置。
技术介绍
随着互联网技术的发展,网络的应用越来越广泛,网络完全越来越重要。目前,保障网络安全较好的方法是渗透测试,即让专业的网络安全人员做安全测试评估。但是,相关技术中,渗透测试过程不连续,在完成一个攻击点后的测试后需要人工验证是否成功,若成功才能进行更深入的攻击层面进行验证,若不成功则需要返回来考虑采用其他方法进行渗透测试,在此过程中往往会耗费很多时间,并且可能打断渗透人员的思路。由此可见,相关技术中渗透测试,其实现步骤过于零碎且耗费人力成本过高。
技术实现思路
有鉴于此,本申请的目的之一在于提供一种渗透方法及装置,以将渗透过程中的各个环节串联起来,实现自动化的渗透测试。为了达到上述目的,本申请实施例采用如下技术方案:第一方面,本申请实施例提供一种渗透测试方法,应用于测试终端,所述方法包括:生成攻击链,所述攻击链包括一个以上待使用攻击面,所述待使用攻击面包括一个以上可用攻击插件;加载所述可用攻击插件;按照所述攻击链中的各所述待使用攻击面的优先级,依次运行各所述待使用攻击面中的所述可用攻击插件,直至达到用户指定的渗透目标;对得到的渗透测试结果进行展示。可选地,在上述渗透测试方法中,按照所述攻击链中的各所述待使用攻击面的优先级,依次运行各所述待使用攻击面中的所述可用攻击插件,直至达到用户指定的渗透目标,包括:针对所述攻击链中的任一待使用攻击面,并行地运行该待使用攻击面中的各可用攻击插件,并将各可用攻击插件的运行结果添加到该待使用攻击面的运行结果集合中;若该待使用攻击面与目标攻 ...
【技术保护点】
1.一种渗透测试方法,其特征在于,应用于测试终端,所述方法包括:生成攻击链,所述攻击链包括一个以上待使用攻击面,所述待使用攻击面包括一个以上可用攻击插件;加载所述可用攻击插件;按照所述攻击链中的各所述待使用攻击面的优先级,依次运行各所述待使用攻击面中的所述可用攻击插件,直至达到用户指定的渗透目标;对得到的渗透测试结果进行展示。
【技术特征摘要】
1.一种渗透测试方法,其特征在于,应用于测试终端,所述方法包括:生成攻击链,所述攻击链包括一个以上待使用攻击面,所述待使用攻击面包括一个以上可用攻击插件;加载所述可用攻击插件;按照所述攻击链中的各所述待使用攻击面的优先级,依次运行各所述待使用攻击面中的所述可用攻击插件,直至达到用户指定的渗透目标;对得到的渗透测试结果进行展示。2.根据权利要求1所述的方法,其特征在于,按照所述攻击链中的各所述待使用攻击面的优先级,依次运行各所述待使用攻击面中的所述可用攻击插件,直至达到用户指定的渗透目标,包括:针对所述攻击链中的任一待使用攻击面,运行该待使用攻击面中的各可用攻击插件,并将各可用攻击插件的运行结果添加到该待使用攻击面的运行结果集合中;若该待使用攻击面与目标攻击面一致,且该待使用攻击面的运行结果集合中包括运行成功的结果,则确定达到用户指定的渗透目标;其中,所述目标攻击面为用户指定的攻击面。3.根据权利要求2所述的方法,其特征在于,按照所述攻击链中的各所述待使用攻击面的优先级,依次运行各所述待使用攻击面中的所述可用攻击插件,直至达到用户指定的渗透目标,还包括:若该待使用攻击面与所述目标攻击面不一致,且该待使用攻击面的运行结果集合中包括运行成功的结果,则将该待使用攻击面的运行结果集合作为下一优先级的待使用攻击面的输入,并运行该下一优先级的待使用攻击面中的各可用攻击插件。4.根据权利要求3所述的方法,其特征在于,将该待使用攻击面的运行结果集合作为下一优先级的待使用攻击面的输入,并运行该下一优先级的待使用攻击面中的各可用攻击插件,包括:针对所述下一优先级的待使用攻击面中的每一可用攻击插件,该可用攻击插件从输入的所述运行结果集合中查找运行所需的参数;若未查找到,则返回运行失败的结果。5.根据权利要求1-4中任一项所述的方法,其特征在于,生成攻击链,包括:获取待测试的目标渗透范围;根据各攻击面的配置文件选取属于所述目标渗透范围的攻击面作为所述待使用攻击面;根据各攻击插件的配置文件选取与所述待使用攻击面对应的攻击插件作为所述可用攻击插件;将属于同一所述待使用攻击面的所述可用攻击插件划分至一个节点,得到一个以上节...
【专利技术属性】
技术研发人员:张壮壮,
申请(专利权)人:北京知道创宇信息技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。