【技术实现步骤摘要】
一种基于工作流的信息侦查和渗透测试方法
本专利技术涉及计算机软件信息
,尤其涉及一种基于工作流的信息侦查和渗透测试方法。
技术介绍
渗透测试是一项重要的软件测试工作,渗透测试人员在进行渗透测试时,需要使用到相关的工具和软件进行测试,但渗透测试人员使用的工具大多是零散,不成系统,在测试时,往往需要同时使用多个工具,这样不仅会占用大量的计算机资源,渗透测试工作的效率也不高。申请号为“CN202010493526.3”的“一种自动化渗透测试框架”实现了渗透测试工作向自动化、标准化和实战化方向的演进。通过工作流、管道和插件的组合,实现了渗透测试的自动化执行,让大规模网络开展自动化渗透测试成为可能,通过框架规范了渗透测试内容和方法,规避了人员能力因素影响,实现了渗透测试标准化。但该框架仅是支撑自动化信息侦查和渗透测试的底层工作基础,为了真正自动化开展信息侦查和渗透测试工作,需要为框架注入多种插件单元,并利用管道和工作流将插件有机组合,构造自动化信息侦查和渗透测试最佳实践方法。
技术实现思路
本专利技术...
【技术保护点】
1.一种基于工作流的信息侦查和渗透测试方法,其特征在于:基于工作流实现对测试目标的域名、IP、IP端口、URL和指纹进行侦查、过滤和去重,对已知漏洞、弱口令漏洞、反序列化漏洞、注入漏洞、越权漏洞和溢出漏洞进行信息侦查和渗透测试。/n
【技术特征摘要】
1.一种基于工作流的信息侦查和渗透测试方法,其特征在于:基于工作流实现对测试目标的域名、IP、IP端口、URL和指纹进行侦查、过滤和去重,对已知漏洞、弱口令漏洞、反序列化漏洞、注入漏洞、越权漏洞和溢出漏洞进行信息侦查和渗透测试。
2.根据权利要求1所述的一种基于工作流的信息侦查和渗透测试方法,其特征在于:所述工作流包括测试目标输入、信息侦查管道和渗透测试管道;所述测试目标输入用于输入测试目标的资产,所述测试目标的资产为IP、域名或URL;所述信息侦查管道用于对输入目标的信息侦查,通过输入的IP和URL,基于多个插件获取IP、URL、端口和指纹信息并存储,用于渗透测试管道调用;所述渗透测试管道与信息侦查管道连接,基于不同的多个插件利用侦查管道获取的IP、URL、端口和指纹对已知漏洞、弱口令漏洞、反序列化漏洞、注入漏洞、越权漏洞及溢出漏洞进行渗透测试,将测试出的漏洞信息存储的同时输出测试报告。
3.根据权利要求2所述的一种基于工作流的信息侦查和渗透测试方法,其特征在于:所述信息侦查管道包括侦查输入转换插件、域名提取插件、域名扩展插件、IP提取插件、IP反查域名插件、URL爬虫插件、URL反查IP插件、IP扩展插件、IP端口扫描插件、指纹识别插件;
所述侦查输入转换插件用于对测试目标的输入信息进行转换,将输入信息统一转换为标准格式的IP和域名;
所述域名提取插件与所述侦查输入转换插件连接,用于提取标准格式域名;
所述IP提取插件与所述侦查输入转换插件连接,用于提取标准格式IP;
所述IP扩展插件与所述IP提取插件、URL反查IP插件连接,对IP进行排序,按照C段填充缺少的IP;
所述IP反查域名插件与所述IP扩展插件连接,针对各个IP进行域名反查,获取反查域名;
所述域名扩展插件与所述域名提取插件、IP反查域名插件连接,针对各个域名进行子域名的暴力猜解;
所述URL反查IP插件与所述域名扩展插件连接,针对各个URL进行IP反查,获取反查IP;
所述IP端口扫描插件与所述IP扩展插件连接,对爬虫采集的IP进行批量的端口和服务的扫描,获取IP端口;
所述URL爬虫插件与所述域名扩展插件、IP端口扫描...
【专利技术属性】
技术研发人员:刘文志,李开,李海涛,
申请(专利权)人:北方实验室沈阳股份有限公司,
类型:发明
国别省市:辽宁;21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。