一种开放式安全合规性渗透测试系统技术方案

本发明专利技术公开了一种开放式安全合规性渗透测试系统，该系统包括：数据包解析模块、自动化fuzz引擎、自定义payload模块、报告生成模块和工作调度模块；其中数据包解析模块：将http协议数据包，以txt文本格式输入，通过该模块解析为可供测试的结构化数据；自动化fuzz引擎：采用tcp协议与被测接口进行数据交互，同时异步化程序执行流程，可以将设备资源利用率与测试效率最大化。采用本发明专利技术构建的渗透测试工具，将使安全测试人员通过简单的定义输入输出与结果判定规则，快速高效的制定出安全合规性检查项，提高对业务系统接口的测试覆盖率，并且大幅缩短测试时间。

【技术实现步骤摘要】
一种开放式安全合规性渗透测试系统
本专利技术涉及一种测试系统，特别涉及一种开放式安全合规性渗透测试系统。
技术介绍
在现有技术中，最相近的现有技术方案是PortSwigger公司的BurpSuite产品。现有技术方案虽能手工完成部分渗透测试工作，但如果测试的系统页面及参数繁多并复杂，现有技术方案会导致以下2个问题：1：并不能够在短时期内完成测试所有系统页面和参数。2：若选择性测试部分页面和参数，会导致遗漏安全问题。存在问题1的原因是BurpSuite没有全自动的检查所有系统参数的能力。存在问题2的原因是BurpSuite产品严重依赖于测试者的技术能力，资深的技术专家凭经验就能挑选可能存在的脆弱点进行测试，而不是全面的测试所有系统参数，这会导致安全问题被遗漏的问题。
技术实现思路
本专利技术要解决的技术问题是克服现有技术的缺陷，提供一种开放式安全合规性渗透测试系统。为了解决上述技术问题，本专利技术提供了如下的技术方案：本专利技术一种开放式安全合规性渗透测试系统，该系统包括：数据包本文档来自技高网...

【技术保护点】
1.一种开放式安全合规性渗透测试系统，其特征在于，该系统包括：数据包解析模块、自动化fuzz引擎、自定义payload模块、报告生成模块和工作调度模块；/n其中数据包解析模块：将http协议数据包，以txt文本格式输入，通过该模块解析为可供测试的结构化数据；/n其中自动化fuzz引擎：采用tcp协议与被测接口进行数据交互，同时异步化程序执行流程，可以将设备资源利用率与测试效率最大化，具体执行过程是，使用socket与服务接口建立连接，通过异步调用的方法，同时建立多个socket请求，在等待网络返回数据期间，CPU持续够造发送的数据包，待请求数据返回时，回调对结果处理函数，防止CPU在网络IO中...

【技术特征摘要】
1.一种开放式安全合规性渗透测试系统，其特征在于，该系统包括：数据包解析模块、自动化fuzz引擎、自定义payload模块、报告生成模块和工作调度模块；
其中数据包解析模块：将http协议数据包，以txt文本格式输入，通过该模块解析为可供测试的结构化数据；
其中自动化fuzz引擎：采用tcp协议与被测接口进行数据交互，同时异步化程序执行流程，可以将设备资源利用率与测试效率最大化，具体执行过程是，使用socket与服务接口建立连接，通过异步调用的方法，同时建立多个socket请...

【专利技术属性】
技术研发人员：周赟，曹嘉宁，许康先，
申请(专利权)人：周赟，曹嘉宁，
类型：发明
国别省市：上海;31