本申请提供了一种基于文档交互式的渗透测试系统,用于实现一可以显著减少发包的自动化渗透测试机制,如此可以更为便捷、高效地完成渗透测试,具有较高的应用价值。本申请提供的基于文档交互式的渗透测试系统,包括:工具配置模块,由高水平渗透工程师配置自动化渗透处理涉及的工具配置;流程配置模块,由高水平渗透工程师配置自动化渗透处理涉及的流程配置;文档结构生成模块,对工具配置模块涉及的不同渗透测试工具以及流程配置模块涉及的不同渗透测试流程二者所产生数据进行数据加工,得到文档结构;文档解析模块,将文档结构转化为用于调用执行的数据结构;任务执行模块,由初级渗透工程师选择调用执行数据结构进行目标的自动化渗透测试。标的自动化渗透测试。标的自动化渗透测试。
【技术实现步骤摘要】
一种基于文档交互式的渗透测试系统
[0001]本申请涉及渗透测试领域,具体涉及一种基于文档交互式的渗透测试系统。
技术介绍
[0002]渗透测试(Penetration Test)是模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统、服务器或者数据库等渗透对象的安全做深入探测,发现其复杂、相互关联的安全问题或者更深层次的弱点,并将入侵过程和细节产生报告给用户。
[0003]现有的渗透测试主要分为两类,一是人工测试,凭借人工经验,利用网络安全扫描器、专用安全测试工具对网络中操作系统、网络设备、应用系统等进行非破坏性质的模拟攻击;二是自动化测试,使用Metasploit Framework(MSF)这类漏洞利用框架等渗透测试工具,自动收集网络目标信息,根据目标指纹选取匹配的攻击组件对目标执行攻击,然后基于测试结果输出渗透测试报告。
[0004]而在现有的相关技术的研究过程中,专利技术人发现,人工测试依赖于渗透工程师个人的操作经验,不仅渗透测试效果不稳定,操作成本还存在较高的问题,自动化测试则是自动化效果较差,可有效完成测试的对象较为固定或者说有局限性,且还可能伴随在执行测试时无效报文较多的情况,可能会导致服务器阻断IP、影响渗透测试效果,显然,两类现有的渗透测试方案都存在着应用不便导致应用价值较低的问题。
技术实现思路
[0005]本申请提供了一种基于文档交互式的渗透测试系统,用于实现一可以显著减少发包的自动化渗透测试机制,如此可以更为便捷、高效地完成渗透测试,具有较高的应用价值。/>[0006]本申请提供了一种基于文档交互式的渗透测试系统,系统包括:
[0007]工具配置模块,由高水平渗透工程师配置自动化渗透处理涉及的工具配置;
[0008]流程配置模块,由高水平渗透工程师配置自动化渗透处理涉及的流程配置;
[0009]文档结构生成模块,对工具配置模块涉及的不同渗透测试工具以及流程配置模块涉及的不同渗透测试流程二者所产生数据进行数据加工,得到文档结构;
[0010]文档解析模块,将文档结构转化为用于调用执行的数据结构;
[0011]任务执行模块,由初级渗透工程师选择调用执行数据结构进行目标的自动化渗透测试。
[0012]在本申请第一种可能的实现方式中,文档结构生成模块,通过每一个渗透测试工具适配的解析脚本,将工具及其涉及流程所产生数据的关键内容,进行提取、分析以及汇总,并整理为文档结构。
[0013]在本申请第二种可能的实现方式中,文档结构具体包括主要目标信息收集、扩大攻击面、单点突破、内网横向、确定靶机控制权限共5个方面的结构。
[0014]在本申请第三种可能的实现方式中,文档解析单元,还向不同渗透工程师提供文
档结构的协同编辑服务。
[0015]结合本申请第三种可能的实现方式,在本申请第四种可能的实现方式中,文档解析单元,还通过可视化界面的方式呈现文档结构的内容。
[0016]结合本申请第四种可能的实现方式,在本申请第五种可能的实现方式中,可视化界面基于选定的文档结构模板生成。
[0017]结合本申请第四种可能的实现方式,在本申请第六种可能的实现方式中,协同编辑服务具体通过统一的可视化界面实现。
[0018]在本申请第七种可能的实现方式中,系统还包括文档填充模块,由初级渗透工程师将渗透测试结果填充至渗透测试报告的文档指定位置。
[0019]结合本申请第七种可能的实现方式,在本申请第八种可能的实现方式中,文档填充模块还向不同渗透工程师以填充的方式提供渗透测试报告的协同编辑服务。
[0020]在本申请第九种可能的实现方式中,工具配置模块涉及的不同渗透测试工具具体分为在线工具、GUI工具以及平台调用工具。
[0021]从以上内容可得出,本申请具有以下的有益效果:
[0022]基于文档交互式的渗透测试系统可以由高水平渗透工程师自由组合针对不同渗透测试对象适配的渗透测试工具以及渗透测试流程,并向初级渗透工程师提供组合结果的调用服务,如此将渗透经验实质化传递给初级渗透工程师使用,此外还通过具体的文档结构、数据结构提高协同效果,从而对于整个系统而言,兼顾高水平的人工渗透测试经验以及自动化渗透测试需求,不会存在现有的自动化渗透工具存在的测试对象局限性较大的问题,且还可以显著减少发包,也不会伴随在执行测试时无效报文较多的情况,避免导致服务器阻断IP、影响渗透测试效果的情况发生,从而构建出一兼顾人工测试和自动化测试的渗透测试平台,可以更为便捷、高效地完成渗透测试,具有较高的应用价值。
附图说明
[0023]为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0024]图1为本申请基于文档交互式的渗透测试系统的一种系统架构示意图;
[0025]图2为本申请平台调用工具的一种场景示意图;
[0026]图3为本申请工具配置的一种界面示意图;
[0027]图4为本申请对nmap进行主机发现的一种使用流程示意图;
[0028]图5为本申请对一个目标进行标准的、全面的一种漏洞扫描覆盖示意图;
[0029]图6为本申请文档结构的一种结构示意图;
[0030]图7为本申请文档解析模块的一种界面示意图;
[0031]图8为本申请文档解析模块的又一种界面示意图;
[0032]图9为本申请文档结构章节的一种界面示意图;
[0033]图10为本申请执行自动化渗透测试的一种界面示意图;
[0034]图11为本申请执行自动化渗透测试的又一种界面示意图;
[0035]图12为本申请渗透测试报告的一种界面示意图;
[0036]图13为本申请渗透测试报告的又一种界面示意图;
[0037]图14为本申请渗透测试报告的又一种界面示意图;
[0038]图15为本申请基于文档交互式的渗透测试系统的又一种系统架构示意图。
具体实施方式
[0039]下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0040]本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或模块的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或模本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于文档交互式的渗透测试系统,其特征在于,所述系统包括:工具配置模块,由高水平渗透工程师配置自动化渗透处理涉及的工具配置;流程配置模块,由所述高水平渗透工程师配置所述自动化渗透处理涉及的流程配置;文档结构生成模块,对所述工具配置模块涉及的不同渗透测试工具以及所述流程配置模块涉及的不同渗透测试流程二者所产生数据进行数据加工,得到文档结构;文档解析模块,将所述文档结构转化为用于调用执行的数据结构;任务执行模块,由初级渗透工程师选择调用执行所述数据结构进行目标的自动化渗透测试。2.根据权利要求1所述的基于文档交互式的渗透测试系统,其特征在于,所述文档结构生成模块,通过每一个渗透测试工具适配的解析脚本,将工具及其涉及流程所产生数据的关键内容,进行提取、分析以及汇总,并整理为所述文档结构。3.根据权利要求1所述的基于文档交互式的渗透测试系统,其特征在于,所述文档结构具体包括主要目标信息收集、扩大攻击面、单点突破、内网横向、确定靶机控制权限共5个方面的结构。4.根据权利要求1所述的基于文档交互式的渗透测...
【专利技术属性】
技术研发人员:严文涛,
申请(专利权)人:武汉思普崚技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。