本申请提供了一种渗透任务生成方法、系统、电子设备及存储介质,涉及安全检测技术领域。该方法包括:获取渗透数据,并将渗透数据存入消息队列;基于消息队列,将渗透数据与渗透脚本进行匹配;若匹配成功,则生成并执行渗透任务;渗透数据包括历史渗透任务的执行结果。以此方式,可以实现渗透任务的自动生成以及执行。行。行。
【技术实现步骤摘要】
一种渗透任务生成方法、系统、电子设备及存储介质
[0001]本申请涉及安全检测
,尤其是涉及一种渗透任务生成方法、系统、电子设备及存储介质。
技术介绍
[0002]渗透测试是指通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。
[0003]现有的渗透测试方法均是基于渗透工具来进行渗透测试的,而渗透工具所执行的渗透任务是预先以固定的逻辑形式写入代码中,因此所有渗透任务都是有严格的执行顺序的,若设计者或用户未添加运行顺序或运行逻辑,则渗透程序不会自动对渗透任务进行识别和执行,从而降低了漏洞识别的准确率和召回率。
技术实现思路
[0004]为了实现渗透任务的自动生成以及执行,本申请提供了一种渗透任务生成方法、系统、电子设备及存储介质。
[0005]在本申请的第一方面,提供了一种渗透任务生成方法。该方法包括:
[0006]获取渗透数据,并将所述渗透数据存入消息队列;
[0007]基于所述消息队列,将所述渗透数据与渗透脚本进行匹配;
[0008]若匹配成功,则生成并执行渗透任务;
[0009]所述渗透数据包括历史渗透任务的执行结果。
[0010]通过采用上述技术方案,根据获取到的渗透数据自动匹配渗透脚本,匹配成功则生成渗透任务,并执行渗透脚本,因此,只要获取到的渗透数据满足渗透脚本的输入,即可驱动渗透脚本的运行,从而实现渗透任务的自动生成以及执行。
[0011]可选的,该方法还包括:判断预设时间段内是否获取到所述渗透任务的执行结果;若否,则结束渗透。
[0012]可选的,所述判断预设时间段内未获取到所述渗透任务的执行结果之前还包括:判断所述渗透任务是否执行完毕;若是,则直接结束渗透。
[0013]可选的,所述判断预设时间段内未获取到所述渗透任务的执行结果之前还包括:若否,则等待未执行完毕的渗透任务;在未执行完毕的渗透任务执行完毕之后,则执行“判断预设时间段内是否获取到所述渗透任务的执行结果”的步骤。
[0014]可选的,所述基于所述消息队列,将所述渗透数据与渗透脚本进行匹配之前还包括:判断所述渗透数据是否已存在于所述消息队列;若否,则执行“将所述渗透数据与渗透脚本进行匹配”的步骤。
[0015]可选的,所述渗透数据还包括待渗透目标的相关信息;所述相关信息至少包括Whois信息、端口信息、服务信息、软件信息、敏感内容信息中的一种。
[0016]在本申请的第二方面,提供了一种渗透任务生成系统。该系统包括:
[0017]获取模块,用于获取渗透数据,并将所述渗透数据存入消息队列;
[0018]匹配模块,用于基于所述消息队列,将渗透数据与渗透脚本进行匹配;
[0019]生成执行模块,用于在匹配成功后,生成并执行渗透任务;
[0020]其中,所述渗透数据包括历史渗透任务的执行结果。
[0021]可选的,该系统还包括:
[0022]判断模块,用于判断预设时间段内是否获取到所述渗透任务的执行结果;
[0023]结果执行模块,用于在预设时间段内未获取到所述渗透任务的执行结果时,结束渗透。
[0024]在本申请的第三方面,提供了一种电子设备。该电子设备包括:存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如以上所述的方法。
[0025]在本申请的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如根据本申请的第一方面的方法。
[0026]应当理解,
技术实现思路
部分中所描述的内容并非旨在限定本申请的实施例的关键或重要特征,亦非用于限制本申请的范围。本申请的其它特征将通过以下的描述变得容易理解。
附图说明
[0027]结合附图并参考以下详细说明,本申请各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
[0028]图1是本申请实施例中渗透任务生成方法的流程图;
[0029]图2是本申请实施例中渗透任务生成系统的方框图;
[0030]图3是本申请实施例中电子设备的方框图。
具体实施方式
[0031]为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
[0032]渗透测试是指尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段,从攻击者的角度对渗透目标(例如:网络、系统、主机应用)的安全性作深入的非破坏性的探测,发现系统安全防护最脆弱环节的过程。渗透测试的核心是通过最大限度的信息收集和漏洞分析,寻找渗透目标的安全防护中最薄弱点。
[0033]基于上述渗透测试的介绍,渗透任务即为通过对渗透目标进行渗透,来获取该渗透目标的相关信息的过程。获取相关信息后,即可先对渗透目标进行初步的漏洞分析。还可以利用漏洞,来获取更多的渗透目标相关数据,因此,漏洞利用也可以作为渗透任务执行。在本申请中,则是直接通过运行多种渗透脚本来进行扫描,获取渗透数据。
[0034]图1示出了本申请实施例中渗透任务生成方法的流程图。参见图1,该方法包括以下步骤:
[0035]步骤S110:获取渗透数据,并将渗透数据存入消息队列。
[0036]首先,需要说明的是,消息队列是指在消息的传输过程中保存消息的容器,且消息队列具有先入先出的特点。在本申请中,将渗透数据作为消息存储在消息队列中,从而保留
了获取渗透数据的获取顺序。
[0037]在本申请实施例中,渗透数据包括历史渗透任务的执行结果。具体地,历史渗透任务即为已经执行完毕的渗透任务,当渗透任务执行完毕时,会输出执行结果,该执行结果即为获得的新的渗透数据;获得新的渗透数据后,将渗透数据存储在消息列队中。
[0038]在一些实施方式中,渗透数据还包括待渗透目标的相关信息,相关信息包括但不限于Whois信息、端口信息、服务信息、软件信息、敏感内容信息等。比如,Whois信息还可以具体为域名IP、所有者信息、域名注册时间、域名到期时间、域名状态、DNS服务器信息等,再比如,敏感内容信息可以具体为敏感目录、敏感文件等。可以根据渗透目标的类型和性质,针对性地获取渗透目标的相关信息。
[0039]获取相关信息的方式具体可以通过对端口、服务器、软件、中间件、系统防火墙等进行扫描获得,若渗透目标存在Web服务,则还可以通过对渗透目标进行敏感路径扫描、子域名爆破、爬虫等方式获得相关信息。需要说明的是,子域名爆破是指探测域名下的所有子域名。
[0040]示例地,假设对某一个网站进行渗透,该网站即为渗透目标,网站类型即为渗透目标的类型。网站通常具有服务端口、域名等,因此,可以通过对网站端口服务器进行扫描、对网站域名进行强行爆破等,来获取到该网站开启的端口信息、该网站域名下的所有子域名信息等,这些信息均可作为渗透目标的相关信息。
[0041]获取到本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种渗透任务生成方法,其特征在于,包括:获取渗透数据,并将所述渗透数据存入消息队列;基于所述消息队列,将所述渗透数据与渗透脚本进行匹配;若匹配成功,则生成并执行渗透任务;所述渗透数据包括历史渗透任务的执行结果。2.根据权利要求1所述的方法,其特征在于,还包括:判断预设时间段内是否获取到所述渗透任务的执行结果;若否,则结束渗透。3.据权利要求2所述的方法,其特征在于,所述判断预设时间段内未获取到所述渗透任务的执行结果之前还包括:判断所述渗透任务是否执行完毕;若是,则直接结束渗透。4.据权利要求3所述的渗透任务数据匹配方法,其特征在于,所述判断预设时间段内未获取到所述渗透任务的执行结果之前还包括:若否,则等待未执行完毕的渗透任务;在未执行完毕的渗透任务执行完毕之后,则执行“判断预设时间段内是否获取到所述渗透任务的执行结果”的步骤。5.据权利要求1所述的方法,其特征在于,所述基于所述消息队列,将所述渗透数据与渗透脚本进行匹配之前还包括:判断所述渗透数据是否已存在于所述消息队列;若否,则执行“将所述渗透数据与渗透脚本进行匹配...
【专利技术属性】
技术研发人员:姬锦坤,司红星,
申请(专利权)人:四维创智北京科技发展有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。