【技术实现步骤摘要】
一种渗透测试方法、系统、计算机设备以及存储介质
[0001]本专利技术涉及渗透测试
,尤其涉及一种渗透测试方法、系统、计算机设备以及存储介质。
技术介绍
[0002]随着互联网行业的快速发展,越来越多的互联网应用如网上银行、电子商务、个人空间、微博、大数据、云存储等也不断深入人们的生活,如果这些承载着用户大量信息的互联网应用存在不安全隐患,如被攻击者恶意利用,那么用户的个人信息、甚至是整个应用系统都将面临安全风险,因此,人们对承载着海量数据信息的互联网应用其安全问题也越来越重视。
[0003]在现有技术中,渗透测试的方法都是基于半工具、半人工的,对于通常的互联网应用管理员而言,在进行互联网应用的安全管理时,不仅需要耗费大量时间、熟知攻防技术,还需要不断研究新的方法和技术。目前公知的各种漏洞安全工具入门门槛高,对管理员的挑战很大,且从发现漏洞到利用漏洞的测试需要花费很大的人工成本,多次运行时还需要人工输入命令和使用不同工具的一步步配置环境来进行渗透测试。
技术实现思路
[0004]本专利技术要解决...
【技术保护点】
【技术特征摘要】
1.一种渗透测试方法,其特征在于,包括:通过页面填写需要进行渗透测试的网站或者IP段,点击创建项目开始渗透测试;网页调用接口对网站和/或IP段进行归纳和去重,通过渗透任务的形式下发给后台的Celery Worker进程;Celery Worker进程进行漏洞扫描和信息收集。2.根据权利要求1所述的渗透测试方法,其特征在于,还包括:当完成信息收集后,Celery Worker调用编排引擎,进行规则编排的执行,检测是否有规则编排漏洞。3.根据权利要求2所述的渗透测试方法,其特征在于,还包括:启动插件调度引擎,根据不同信息调用不同类型的插件,进行泛漏洞检测。4.根据权利要求3所述的渗透测试方法,其特征在于,还包括:在检测过程中,调用第三方服务进行辅助渗透和建立反弹连接,并将结果存储在数据库中。5.一种渗透测试系统,其特征在于,包括:信息收集模块,用于在渗透测试之前,使用设定方法来收集渗透目标的必要信息,以完成对渗透目标的信息收集;漏洞探测模块,用于对渗透目标进行自动漏洞探测,其中,漏洞探测包括网站URL探测方式和IP地址探测方式;漏洞利用模块,用于把复杂的漏洞利用过程简单化;反弹交互式脚本模块,用于通过内置方法反弹交互脚本到所述反弹交互式脚本模块;远程管理模块,用于提供加密的网页脚本远程管理功能,采用DES加密算法对传输的数据进行加密,保证数据传输过程中不包含任何特征,以躲避流量分析设备的检测;后渗透模块,用于通过后渗透模块对目标进行横向渗透;弱口令检测模块,用于基于由用户指定目标和字典、线程数的参数建立任务,依次经过headless模块登录请求,Proxy抓包分析登录入口参数,发起多线程请求进行识别验证码,发起登录,并根据响应结果判定是否为弱口令并将结果写入数据库;插件管理模块,用于提供完整的SDK和使用说明文档,以便根据相关文档快速的编写插件,还提供代码自动生成功能以方便插件的编写;指纹管理模块,用于提供提交指纹功能,方便随时添加指纹信息及查看所有的指纹库中的规则信息;服务管理模块,用于对第三方服务和/或从节点服务的管理配置和部署。6.根据权利要求5所述的渗透...
【专利技术属性】
技术研发人员:牛月坤,曹慧,田晨雨,钱隆,张悦,吴昊天,王伟刚,胡建伟,赵文臣,王鑫,曹文桥,宋语馨,
申请(专利权)人:国能信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。