【技术实现步骤摘要】
基于高价值资产数据流的渗透测试方法、系统及存储介质
[0001]本专利技术涉及渗透测试
,更具体地,涉及基于高价值资产数据流的渗透测试方法、系统及存储介质。
技术介绍
[0002]当前网络安全的重要性日益突出,企业越来越重视自身系统安全。为了发现系统中的潜在弱点,许多企业选择邀请外部安全公司进行渗透测试。然而,目前的渗透测试方法主要采用黑盒测试,即通过对目标系统进行扫描,获取页面反馈并获取相关文件,然后逐项进行攻击测试。这种方法存在一些局限性,其中一个问题是对遍历的完整性有依赖,如果遍历不完整或扫描页面不全,可能会导致部分漏测。
[0003]现有技术中,公开号为CN107707561B的中国专利技术专利公开了一种渗透测试方法及装置,应用于包括浏览器的电子终端。方法包括:对待测网站进行扫描,获得待测试的多个目标网站;通过所述浏览器并发地访问每个目标网站,并接收每个目标网站返回的页面文件;渲染并加载接收到的页面文件,对加载后的页面文件截图并保存获得的截图;解析得到加载后的页面文件的代码;根据截图及代码确定每个目标网...
【技术保护点】
【技术特征摘要】
1.一种基于高价值资产数据流的渗透测试方法,其特征在于,包括以下步骤:利用架构文档、通信矩阵、账号列表获取系统架构信息;识别预定义的高价值资产;获取所述高价值资产的外部暴露面和数据流向并确定系统中与高价值资产相关的攻击路径;构建高价值资产攻击路径;执行攻击路径测试和评估并输出渗透测试报告。2.根据权利要求1所述的一种基于高价值资产数据流的渗透测试方法,其特征在于,利用架构文档、通信矩阵、账号列表获取系统架构信息,具体包括:根据架构文档、通信矩阵、账号列表得到系统的组件、模块和数据流向信息;分析系统的服务端和客户端架构,得到服务端和客户端的架构信息;确定系统中各个组件之间的交互方式和数据传输路径。3.根据权利要求1所述的一种基于高价值资产数据流的渗透测试方法,其特征在于,识别预定义的高价值资产,具体包括:根据系统的功能和数据流程识别出高价值资产;分析系统中存储、处理和传输的数据,识别包含敏感信息、关键业务数据或知识产权的数据并作为高价值资产;确定系统的关键资源将所述资源作为高价值资产,所述关键资源包括:核心模块、关键业务逻辑及访问控制机制;确定系统的上下文环境,根据上下文环境对系统运行和业务成功的影响因子的大小将上下文环境作为高价值资产,所述上下文环境包括:与其他系统的接口、第三方集成和外部数据交互;根据行业标准、安全准则以及法规和合规要求确定出高价值资产。4.根据权利要求1
‑
3任一项所述的一种基于高价值资产数据流的渗透测试方法,其特征在于,获取所述高价值资产的外部暴露面和数据流向包括:利用网络工具系统进行外部暴露面分析确定系统暴露给外部世界的接口和服务,所述网络工具:网络端口扫描工具、服务识别工具和漏洞探测工具;利用系统的架构文档、通信矩阵以及其他文档,获取系统中不同组件之间的数据流向、信息交换方式和数据处理过程;利用系统的日志记录、网络流量监测和安全事件记录,获取系统当前的运行状态、数据传输路径和潜在的安全风险;通过系统的授权和身份验证机制,确定具有潜在攻击价值的身份验证和授权点,所述授权和身份验证机制包括用户访问控制、权限管理和认证过程;通过搜索引擎查询、域名注册信息、子域名枚举和目录扫描,获取关于系统的信息和潜在漏洞;根据系统与外部系统或服务的集成分析数据流向和数据共享的安全性和可信度,所述外部系统或服务包括第三方API接口、云服务和其他外部数据交互。5.根据权利要求4所述的一种基于高价值资产数据流的渗透测试方法...
【专利技术属性】
技术研发人员:丁凯,周宏伟,周东昇,马旭,
申请(专利权)人:重庆长安汽车股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。