CN101242279A - 用于web系统的自动化渗透性测试系统和方法 - Google Patents
用于web系统的自动化渗透性测试系统和方法 Download PDFInfo
- Publication number
- CN101242279A CN101242279A CNA200810101530XA CN200810101530A CN101242279A CN 101242279 A CN101242279 A CN 101242279A CN A200810101530X A CNA200810101530X A CN A200810101530XA CN 200810101530 A CN200810101530 A CN 200810101530A CN 101242279 A CN101242279 A CN 101242279A
- Authority
- CN
- China
- Prior art keywords
- module
- scanning
- scan
- rule
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
一种用于WEB系统的自动化渗透性测试系统,设有三个层次:提供与用户交互界面GUI的表示层,作为系统的控制核心、执行扫描、检测程序的运行及相关功能的逻辑层,用于存储、维护各种扫描规则和任务执行过程中的配置信息的数据层。本发明系统能根据用户在GUI表示层设置的WEB扫描任务对WEB网站自动进行渗透扫描或常规扫描,结合相应的插件对扫描结果进行分析,找出该WEB网站可能存在的安全问题,然后生成检测报告来通报已经形成的综合风险列表。本发明用于对WEB网站自动进行安全测试,能够取代目前基于人工的安全性测试与渗透性测试,大大降低目前在软件研发中对软件安全测试所投入的成本,还可大大提高安全测试的准确性。
Description
技术领域
本发明涉及一种WEB系统的安全扫描技术,确切地说,涉及一种用于WEB系统的自动化渗透性测试系统和方法,属于信息安全中的软件安全技术领域。
背景技术
目前,常用的web系统安全扫描工具简单列举如下:
Nikto,作为开源的Web服务器扫描程序,用于对Web服务器的多种项目(包括3500个潜在的危险文件/CGI、超过900个服务器版本和250多个服务器上的版本特定问题)进行全面测试。其扫描项目和插件经常更新,并可自动更新(如需要的话)。但是,不是每次检查都能找出安全问题,虽然多数情况是这样的。有些项目只是提供信息类型的检查,这种检查可用于查找一些并不存在安全漏洞的项目,
Paros proxy,这是对Web应用程序的漏洞进行评估的代理程序,用于评估Web应用程序的漏洞。它支持动态编辑/查看HTTP/HTTPS,以改变cookies和表单字段等项目。
WebScarab,用于分析使用HTTP和HTTPS协议通信的应用程序,可用最简单的形式记录其观察到的会话,并允许操作人员以各种方式观察会话。不管是帮助开发人员调试其它难题,还是允许安全专业人员识别漏洞,它都是一款不错的工具。
WebInspect,是一款强大的Web应用程序的扫描程序,能够用于确认Web应用中已知的和未知的漏洞,还可检查Web服务器是否正确配置,并会尝试一些常见的Web攻击,如参数注入、跨站脚本、directory traversal等。
Whisker/libwhisker,Libwhisker是一个用于测试HTTP服务器许多已知的安全漏洞的Perla模块,Whisker是一个使用libwhisker的扫描程序。
Wikto,是一个Web服务器评估工具,用于检查Web服务器中的漏洞,能够提供与Nikto相同的很多功能,又增加许多有趣功能,如后端miner和紧密的Google集成。用户需要注册才能下载其二进制文件和源代码。
其它工具还有:Burpsuite,Acunetix Web Vulnerability Scanner,WatchfireAppScan,N-Stealth,N-Stealth等等,不再一一例举。
现有的安全漏洞扫描系统基本采用下述两种方法来完成漏洞的扫描:
WEB安全扫描是一种基于Internet远程检测目标网络的安全性或脆弱点的技术。主要采用下述两种方法检测目标系统是否存在漏洞:先对目标主机端口扫描,监听指定端口并识别其进行的网络服务类型,确定其提供的网络服务;漏洞扫描器根据目标系统的操作系统平台和提供的网络服务,调用漏洞资料库中已知的各种漏洞逐一进行检测,即将这些相关信息与漏洞库进行匹配,查看是否有满足匹配条件的漏洞;然后使用插件模拟黑客攻击,对目标系统进行攻击性的安全漏洞扫描,若模拟攻击成功,就表明目标系统存在安全漏洞。
基于网络系统漏洞库进行的漏洞扫描的关键是其使用的漏洞库。采用基于规则的匹配技术,即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员对网络系统安全配置的实际经验,可以形成一套标准的网络系统漏洞库,然后在此基础上构成相应的匹配规则,由扫描程序自动进行漏洞扫描:扫描器发送含有某一漏洞特征探测码的数据包,根据返回数据包中是否含有该漏洞的相应特征码来判断是否存在漏洞。因此,漏洞扫描系统的性能决定于漏洞库的信息是否完整和有效,漏洞库的修订和性能更新也会影响漏洞扫描系统的运行时间。因此,编制的漏洞库不仅要对每个存在安全隐患的网络服务建立相应的漏洞库文件,还应当能够满足前面所提出的各种性能要求。
另一方法是采用插件技术,插件是用脚本语言编写的子程序,扫描程序通过调用它来执行漏洞扫描,来发现系统中存在的漏洞。添加新的插件就能够使漏洞扫描软件增加新的功能,扫描出更多的新漏洞。插件编写规范化后,甚至用户可以自己利用perl、c语言或其它自行设计的脚本语言编写插件,以扩充漏洞扫描软件的功能。该技术使漏洞扫描软件的升级维护变得相对简单,专用脚本语言的使用也简化了新插件的编写工作,使漏洞扫描软件具有较强的扩展性。
但是,上述方法存在有不足之处:首先是系统配置的规则库问题。众所周知,网络系统漏洞库是基于漏洞库的漏洞扫描的灵魂,而系统漏洞的确认是以该系统配置的规则库为基础。但是,这种系统配置的规则库存在有局限性:如果规则库设计得不准确,预报的准确度就无从谈起。但是,漏洞库是根据已知的安全漏洞进行设计、安排和策划的,而网络系统的很多危险和威胁却来自未知的漏洞,这样,如果不能及时更新规则库,预报的准确度就会逐渐降低。此外,因为漏洞库覆盖范围的限制,有些系统漏洞很可能不会触犯任何一个规则,从而无法被检测到。在对web的检测过程中,其中的一些链接处理可能会引起误报。因此,由于漏洞库信息是基于网络系统漏洞库的进行漏洞扫描的主要判断依据。如果漏洞库信息不全面或者不能及时更新,不但不能发挥漏洞扫描的作用,还会给系统管理员造成错觉,使其无法对系统的安全隐患及时采取有效措施来消除之。
随着Internet的迅速发展,信息技术已成为促进经济发展和社会进步的巨大动力。当今社会中的计算机信息资源对于任何人、无论其在任何地方、任何时候都变得极有价值。不管是存储于工作站、服务器还是流通于Internet上的信息都已变成一个事关重大的关键点,使得如何保证信息安全显得格外重要。
发明内容
有鉴于此,本发明的目的是提供一种用于WEB系统的自动化渗透性测试系统和方法,本发明系统根据配置的WEB扫描任务采用自动化渗透扫描和常规扫描的两种扫描方式,并结合相应的插件,对WEB网站自动进行分析检测,找出其可能存在的各种安全问题,生成报告来通报已经形成的综合风险列表。本发明可以取代目前基于人工的安全性测试与渗透性测试,大大降低目前在软件研发中对软件安全测试所投入的成本,还可大大提高安全测试的准确性。
为了达到上述目的,一种用于WEB系统的自动化渗透性测试系统,其特征在于:该系统根据用户在图形用户界面GUI表示层设置的WEB扫描任务对WEB网站自动进行渗透扫描或常规扫描,并结合相应的插件对扫描结果进行分析,找出该WEB网站存在的安全问题,然后生成检测报告;该系统结构有三个层次:GUI表示层,逻辑层,数据层,其中:
GUI表示层,用于提供与用户交互的GUI界面,包含:浏览器、任务配置模块、报告与结果显示模块、状态及进度显示模块;
逻辑层,作为该系统的控制核心,负责执行扫描、检测程序的运行及相关功能,配置的八个软件模块以扫描调度模块为中心,其余七个模块是:包构造器模块、预扫描模块、链接分析模块、浏览器代理模块、渗透扫描模块、常规扫描模块、用于插接扫描插件的插件接口;
数据层,用于存储、维护各种扫描规则和任务执行过程中的配置信息,设有:常规扫描规则库、渗透扫描规则库、任务信息与临时数据库。
为了达到上述目的,本发明还提供了一种用于WEB系统的自动化渗透性测试系统的工作方法,其特征在于:先接受用户提交的WEB网站的URL信息,再判断用户是否设置登录,以进行渗透性扫描;如果用户设置登录,则调用本地浏览器,供用户与目标网站进行交互,同时通过自身代理记录该用户的登录信息,并查询相应的扫描规则;如果用户未设置登录,则直接进行扫描检测;检测时,先查询对应的规则并向该网站地址发送探测包,再根据规则对返回的应答信息进行匹配,如果匹配成功,则确认存在风险,再继续查询下一条规则;如果未匹配成功,则直接返回和继续查询下一条规则,直至按照全部规则都检测一遍,完成扫描,并报告检测结果。
本发明是一种用于WEB系统的自动化渗透性测试系统和方法,其在技术上的创新优点和效果介绍如下:
本发明检测系统被设计为不同功能的三层架构,其中逻辑层细化每个功能模块,使得每个模块只负责设定的专门功能,不必顾及其它模块的运作,由扫描调度模块负责各模块之间的协调、交互,这种结构有利于提高模块功能和工作效率,也便于对各模块进行修改、调整和功能扩展。本发明的渗透扫描检测过程是自动完成的,用户只需在使用本发明检测系统的前期在表示层进行初始参数的配置,以后的扫描检测过程完全是系统自动执行、完成的。
本发明测试系统在逻辑层设置的各个软件模块都各有特色,其中扫描调度模块是整个逻辑层的控制核心,具备调用各模块的功能,能够起到链接整体的功能,也有利于实现自动化控制和整个检测过程的连贯性,从而提高检测功效及准确性、灵敏性。预扫描模块能够很好地提高渗透探测扫描的准确性,通过预扫描系统能够标出发生错误页面的特征值。浏览器代理模块和浏览器的使用使得本发明系统能够利用整合组件JDIC技术调用浏览器,由浏览器代理模块支持用户登录,实现用户与检测网站的交互,同时获取用户的认证信息,为以后的深度渗透检测做好准备。本发明系统还采用spider等技术进一步获取链接和其他相关信息,能够进一步进行更全面、深入的探测扫描和渗透测试。
此外,逻辑层设有插件接口,可方便地实现扫描插件的扩充,以拓展该系统的检测功能,而且,该操作不会对系统的其它功能模块造成太大影响,也有利于对插件的操作、控制,以便进行全面或特别的测试。
本发明对安全漏洞的检测采用基于正则表达式的规则匹配技术,设置的漏洞库扩展性能很好。规则库分为两种:常规规则库里的常规扫描规则规定常规探测数据包的格式,渗透规则库里的渗透扫描规则规定渗透探测数据包的格式,并且两个规则库里的相应规则分别采用彼此独立的数据结构,分工明确,不会混淆,扩展容易。
本发明作为一种安全扫描技术,可以与防火墙、入侵检测系统互相配合,能够有效提高网络安全。通过对网站的扫描检测,管理员可以及时了解该网站的安全配置和正在运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。管理员可根据扫描结果更正网站安全漏洞和系统中的错误配置,在黑客攻击前进行防范。总之,本发明系统执行的安全扫描就是一种主动的防范措施,可以有效避免黑客攻击行为,做到防患于未然。
附图说明
图1是本发明用于WEB系统的自动化渗透性测试系统结构组成示意图。
图2是本发明自动化渗透性测试系统中的逻辑层各模块结构组成示意图。
图3是本发明用于WEB系统的自动化渗透性测试系统的工作方法流程图。
图4是本发明自动化渗透性测试系统中的浏览器的操作流程图。
图5是本发明自动化渗透性测试系统工作方法中的常规扫描流程图。
图6是本发明自动化渗透性测试系统工作方法中的预扫描流程图。
图7是本发明自动化渗透性测试系统工作方法中的渗透扫描流程图。
图8是本发明测试系统进行实施试验的一实施例操作流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
参见图1,介绍本发明用于WEB系统的自动化渗透性测试系统,该系统根据用户在图形用户界面GUI表示层设置的WEB扫描任务对WEB网站自动进行渗透扫描或常规扫描,并结合相应的插件对扫描结果进行分析,找出该WEB网站存在的安全问题,然后生成检测报告;该系统结构有三个层次:GUI表示层,逻辑层,数据层,其中:
GUI表示层,用于提供与用户交互的GUI界面,包含:浏览器、任务配置模块、报告与结果显示模块、状态及进度显示模块;
逻辑层,作为该系统的控制核心,负责执行扫描、检测程序的运行及相关功能,配置的八个软件模块以扫描调度模块为中心,其余七个模块是:包构造器模块、预扫描模块、链接分析模块、浏览器代理模块、渗透扫描模块、常规扫描模块、用于插接扫描插件的插件接口;
数据层,用于存储、维护各种扫描规则和任务执行过程中的配置信息,设有:常规扫描规则库、渗透扫描规则库、任务信息与临时数据库。
本发明系统用于在已完成开发的WEB网站或正在开发过程中的WEB网站,对相关程序自动进行渗透化扫描检测,以便及时发现各种安全漏洞,这样既可并对该WEB网站或系统做出整体安全性评估报告或综合风险列表,以供技术人员进一步分析包括SQL注入、缓冲区溢出、输入验证和其它特定安全问题,从而减少相关人员在项目安全上花费的精力,降低WEB网站开发项目的安全开销,并有利于提高软件开发人员的安全代码意识,降低项目的安全风险。
参见图2,详细说明逻辑层的各模块功能及其相互之间的信息传递关系。
(1)扫描调度模块,是本发明系统的关键模块和控制中心,用于统一调度该系统各模块的运行和彼此协作,以使该系统能够自动完成扫描、检测的各项任务。该扫描调度模块具有下述具体功能:
当检测任务要调用浏览器参与扫描时,扫描调度模块负责在进行正式扫描之前调用浏览器代理模块,以弹出浏览器窗口与用户交互;并通过浏览器代理模块记录和存储浏览器中的登录、认证信息(如:cookie,session id等),供其它使用认证信息的相关模块调用;
在链接分析模块、预扫描模块和常规扫描、渗透扫描两个扫描模块的工作过程中,严格控制各模块的处理流程及其工作进度,防止出现后续操作模块先于前导模块的启动情况;
在链接分析模块开始出现检测结果后,就从中取出部分信息进行深度渗透扫描,即控制各个模块执行并行操作,以提高检测效率;
当某个模块长时间没有反馈结果时,控制相关的其他模块进入暂时等待状态,以降低系统资源消耗;在取得当前处理对象的进度信息和当前任务状态时,立即转送给状态及进度显示模块,以供实时显示检测进度和系统运行状况;
在结束扫描任务后,生成文件形式的检测报告和提供相关信息,终止各模块的运行。
(2)包构造器模块,负责构造符合任务和规则要求的检测数据包,并在监听获取网站响应后,将满足设定特征的应答存储起来,供其他模块调用;同时在对某些统一资源定位url扫描结束后,对运行时存储空间进行实时清理。
(3)预扫描模块,负责在正式扫描目的网站之前,先进行一次肯定返回错误应答的扫描(如请求一个不可能存在的资源),以便根据返回的错误应答中提取不同情况的特征字段,增强渗透扫描模块进行的扫描探测的精确性,发现和确认安全漏洞,并防止因页面跳转而产生误报;如果返回的是标准错误应答,可直接使用错误应答特征(回复头中的400,404特征字等)进行记录。
如果进行预扫描过程中出现页面跳转,则忽略跳转后的内容。并将该错误页面标记为以标准错误应答为特征字的错误页面,这样处理的目的是防止跳转页面产生过于泛化的误报。
同时可以在请求不存在的资源后,将上述页面由浏览器返回给用户(直接请求不存在的url然后调用浏览器访问进行,直接在浏览器中显示返回结果),由用户来确定出错页面的特征字(该特征字可以是整个页面信息)。也可以在扫描任务的初期由用户指定出错页面的特征(以正则表达式的形式),如果返回的信息匹配,则认为是出现错误,以协助深度渗透扫描模块发现与确认安全漏洞。
(4)链接分析模块,负责根据设定任务,采用类似自动抓取内容的机器人Spider技术对目的网站进行全站检索,根据正则匹配识别站内链接和外部链接,并访问对应站内链接所指向的页面,不断循环执行该过程,直至达到扫描探测深度或不再有新的页面出现。
链接分析模块中设有等待、处理、错误、完成四个队列,在接到对设定的统一资源定位url进行扫描检测任务后,将该url加入等待队列,等待该链接分析模块的程序进行链接分析处理。链接分析模块开始处理链接时,必须先把等待队列中的url传送到处理队列后,才对链接进行处理,且每个链接只处理一次,即同一个链接不能被多次处理;一旦某个链接被处理后,就被移动到错误队列或完成队列,而当其进入某一新队列后,就不再移入其它队列,也不再对其作后续处理;
如果打开的网页出现错误,它的url就被放入错误队列;如果打开的网页没有错误,再判断该网页是否有其他链接,如果没有,则将其移入完成队列并继续检查等待队列;如果打开的网页没有错误,则进一步判断该链接是否指向Web网页,如果不是,则判断为其他类型链接,继续检测后面的链接;否则,再判断该链接是否与网页所在的主机相同,如果不同,则判断该链接为外部链接,继续处理该网页上的其他链接;如果相同,则将该链接加入等待队列并记录之,然后继续处理该网页上的其他链接;被处理完后的url被放入完成队列,到达完成队列的url不会再被移入其它队列。然后判断等待队列中是否还有url,直至完成全部链接的分析。
(5)浏览器代理模块,用于调用本地浏览器,以供用户与目标网站进行交互;同时通过自身代理,记录用户的登陆信息(如cookie,session id等),为以后进行渗透扫描和查询对应的扫描规则备用;其具体流程参见图4。
(6)常规扫描模块,用于执行常规扫描检测,即向目标网站发送由该常规扫描模块调用包构造器模块根据规则构建的探测包,然后向目标网站发送;再将获取的应答信息与常规扫描规则库的规则进行匹配;
(7)渗透扫描模块,负责进行深度扫描探测:分析网页的超文本标记语言HTML注入点,并调用包构造器模块根据对应的渗透测试规则构建渗透探测数据包,再向这些注入点提交该探测数据包,再以预扫描模块获取的默认出错页面为标准,确定是否存在注入漏洞,并以设定脚本返回检测结果,告知是否存在跨站点脚本攻击XSS漏洞,实现自动探测;如此循环轮询各个网页,直至对所有规则都完成扫描探测后,生成扫描报告,发给报告与结果显示模块。
(8)插件接口模块,用于接插有新的扫描功能或程序的插件,以扩充系统的扫描检测功能。
再介绍本发明用于WEB系统的自动化渗透性测试系统的工作方法。该系统有两种扫描检测方法:常规扫描和渗透扫描,其总的检测过程说明如下:先接受用户提交的WEB网站的URL信息,再判断用户是否设置登录,以进行渗透性扫描;如果用户设置登录,则调用本地浏览器,供用户与目标网站进行交互,同时通过自身代理(类似webScarab技术,用来分析使用HTTP和HTTPS协议的应用程序框架)记录该用户的登录信息,并查询相应的扫描规则(如开源的Web服务器扫描程序nikto的匹配规则)。如果用户未设置登录,则直接进行扫描检测;检测时,先查询对应的规则并向该网站地址发送探测包,再根据规则对返回的应答信息进行匹配,如果匹配成功,则确认存在风险,再继续查询下一条规则;如果没有匹配成功,则直接返回和继续查询下一条规则,直至按照全部规则都检测一遍,完成扫描,并报告检测结果。
参见图3,详细说明本发明方法的具体操作步骤:
(1)系统通过GUI表示层的用户界面模块接受用户的设置命令。并根据用户命令决定是否调用浏览器,如果要调用,则顺序执行步骤(2),否则,跳转执行步骤(3);
(2)调用浏览器代理模块(参见图4所示的操作步骤),获取用户登录认证信息;
(3)根据用户的配置命令,选择相应的常规扫描或渗透扫描方式,并调用相应的扫描模块进行扫描检测;如果用户没有设置,则默认进行常规扫描检测;
(4)如果用户选择常规扫描或没有设置扫描方式,则进行常规扫描检测;
参见图5,介绍常规扫描模块的具体工作流程:先查询对应的常规扫描规则,调用包构造器模块根据常规扫描的相应规则构造探测包,然后向目标网站发送,并根据常规扫描规则库的规则对从目标网站返回的应答信息进行匹配检测;如果与规则匹配成功,则确认存在风险,再继续顺序查询下一条规则;如果与规则匹配不成功,则直接顺序查询下一条规则,直至规则轮询结束,完成扫描后,通知报告与结果显示模块,生成文件形式的扫描检测报告。
(5)如果用户选择渗透扫描,则先进行预扫描,然后进行渗透扫描检测;
参见图6,介绍渗透扫描前,先由预扫描模块对网站进行的预扫描检测的具体过程:先通过包构造器模块向该网站请求一个不可能存在的资源,并将返回的非标准错误应答信息转换为自定义的特征字段保存起来,用于与以后进行的渗透扫描探测时返回的应答作对比,以增强扫描的准确性;如果返回的是标准的错误应答信息,则直接记录该错误应答信息中的特征字段(例如回复头中的400、404特征字等);如果预扫描过程中出现页面跳转,则忽略跳转后的内容;而将默认为错误页面的该跳转页面标识为以标准错误应答信息为特征的错误页面,这样处理的目的是防止因跳转页面而产生过于泛化的误报;
同时,在请求不存在的资源后,将浏览器页面返回给用户,并直接在浏览器中显示返回结果,以便与在扫描初期由用户指定的、以正则表达式表示的出错页面的特征字段进行比对,如果两者信息匹配,则表示出现错误,这样能够协助渗透扫描模块发现与确认安全漏洞。
参见图7,介绍渗透扫描模块进行的渗透扫描的具体过程:首先提取被检测网站的内部页面链接,将分析结果放入临时数据库存储;接着进行预扫描,并将预扫描检测过程得到的目的网站的错误页面也存储于临时数据库;然后,取出临时数据库中的链接信息,调用包构造器模块来查询渗透测试扫描规则,以便构造渗透探测数据包,再由渗透扫描模块向这些内部链接对应的页面发送该探测数据包,再根据规则对返回的应答信息进行匹配,如果两者匹配,则确认存在风险,返回继续查询下一条规则;如果两者不匹配,则直接返回查询下一条规则;同时针对每个链接页面,根据储存在临时库的信息分析出HTML中存在的注入点,并尝试向这些注入点提交渗透探测数据,再以预扫描获得的默认出错页面为标准,判断和确定是否存在注入漏洞,以设定的脚本返回来确定是否存在跨站脚本攻击XSS漏洞,实现自动探测;直至规则轮询结束,完成扫描后,通知报告与结果显示模块,生成扫描检测报告。
(6)逻辑层的扫描调度模块汇总扫描检测结果,并存储于临时数据库;
(7)扫描调度模块从临时数据库中调出检测结果,并输出到GUI表示层的报告与结果显示模块,以生成扫描检测报告;
(8)系统根据用户在表示层的任务配置模块中设置的命令,输出该扫描检测报告。
本发明已经研制出实验型系统,并进行了实施试验,试验的结果是成功的,实现了发明目的。因此,从事WEB网站开发的企业和个人都可以使用本发明系统进行Web系统开发过程的安全检测与评估,以便对正在研发的或者已经完成研发的Web网站进行检测,从中查找出存在的风险安全漏洞,并进行改进,再反复测试,图8是利用本发明系统对研制过程中的网站进行检测的实施试验过程的示意图。
Claims (10)
1、一种用于WEB系统的自动化渗透性测试系统,其特征在于:该系统根据用户在图形用户界面GUI表示层设置的WEB扫描任务对WEB网站自动进行渗透扫描或常规扫描,并结合相应的插件对扫描结果进行分析,找出该WEB网站存在的安全问题,然后生成检测报告;该系统结构有三个层次:GUI表示层,逻辑层,数据层,其中:
GUI表示层,用于提供与用户交互的GUI界面,包含:浏览器、任务配置模块、报告与结果显示模块、状态及进度显示模块;
逻辑层,作为该系统的控制核心,负责执行扫描、检测程序的运行及相关功能,配置的八个软件模块以扫描调度模块为中心,其余七个模块是:包构造器模块、预扫描模块、链接分析模块、浏览器代理模块、渗透扫描模块、常规扫描模块、用于插接扫描插件的插件接口;
数据层,用于存储、维护各种扫描规则和任务执行过程中的配置信息,设有:常规扫描规则库、渗透扫描规则库、任务信息与临时数据库。
2、根据权利要求1所述的自动化渗透性测试系统,其特征在于:所述逻辑层中的各模块的功能及其相互之间的信息传递关系是:
扫描调度模块,作为该系统的关键模块和控制中心,用于统一调度该系统各模块的运行和彼此协作,以使该系统能够自动完成扫描、检测的各项任务;
包构造器模块,负责构造符合任务和规则要求的检测数据包,获取网站响应后,将满足设定特征的应答存储起来,供其他模块调用;
预扫描模块,负责在正式扫描目的网站之前,先进行一次肯定返回错误应答的扫描,以便根据返回的错误应答的不同情况,增强渗透扫描模块进行的扫描探测的精确性,发现和确认安全漏洞,并防止因页面跳转而产生误报;
链接分析模块,负责根据设定任务,采用类似自动抓取内容的机器人Spider技术对目的网站进行全站检索,根据正则匹配识别站内链接和外部链接,并访问对应站内链接所指向的页面,不断循环执行该过程,直至达到扫描探测深度或不再有新的页面出现;
浏览器代理模块,用于调用本地浏览器,以供用户与目标网站进行交互;同时通过自身代理,记录用户的登陆信息,为以后进行渗透扫描和查询对应的扫描规则备用;
常规扫描模块,用于执行常规扫描检测,即向目标网站发送由包构造器构造好的探测包,再将获取的应答信息与常规扫描规则库的规则进行匹配;
渗透扫描模块,负责进行渗透扫描探测:分析网页的超文本标记语言HTML注入点,并尝试向这些注入点提交渗透探测数据包,再以预扫描模块获取的默认出错页面为标准,确定是否存在注入漏洞,并以设定脚本返回检测结果,告知是否存在跨站点脚本攻击XSS漏洞,实现自动探测;如此循环轮询各个网页,直至对所有规则都完成扫描探测后,生成扫描报告,发给报告与结果显示模块;
插件接口模块,用于接插有新的扫描功能或程序的插件,以扩充系统的扫描检测功能。
3、根据权利要求2所述的自动化渗透性测试系统,其特征在于:所述扫描调度模块具有下述具体功能:
当检测任务要调用浏览器参与扫描时,扫描调度模块负责在扫描之前调用浏览器代理模块,以弹出浏览器窗口与用户交互;并通过浏览器代理模块记录和存储浏览器中的登录、认证信息,供其它相关模块调用;
在链接分析模块、预扫描模块和常规扫描、渗透扫描两个扫描模块的工作过程中,控制各模块的处理流程及其工作进度,防止出现后续操作模块先于前导模块的启动情况;
在链接分析模块开始出现检测结果后,就从中取出部分信息进行深度渗透扫描,即控制各个模块执行并行操作,以提高检测效率;
当某个模块长时间没有反馈结果时,控制相关的其他模块也进入暂时等待状态,以降低系统资源消耗;在取得当前处理对象的进度信息和当前任务状态时,立即转送给状态及进度显示模块,以供实时显示检测进度和系统运行状况;
结束扫描任务后,生成文件形式的检测报告和提供相关信息,终止各模块的运行。
4、根据权利要求2所述的自动化渗透性测试系统,其特征在于:所述链接分析模块中设有等待、处理、错误、完成四个队列,在接到对设定的统一资源定位url进行扫描检测任务后,将该url加入等待队列,等待该模块程序进行链接分析处理;必须先把等待队列中的url传送到处理队列后,才对链接进行处理,且每个链接只处理一次:某个链接被处理后,就被移动到错误队列或完成队列,一旦进入某一新队列后,就不再移入其它队列,也不再对其作后续处理;
如果打开的网页出现错误,它的url就被放入错误队列;如果打开的网页没有错误,再判断该网页是否有其他链接,如果没有,则将其移入完成队列并继续检查等待队列;否则,进一步判断该链接是否指向Web网页,如果不是,则判断为其他类型链接,继续检测后面的链接;否则,再判断该链接是否与网页所在的主机相同,如果不同,判断该链接为外部链接,继续处理该网页上的其他链接;如果相同,则将该链接加入等待队列并记录之,然后继续处理该网页上的其他链接;然后判断等待队列中是否还有url,直至完成全部链接的分析。
5、根据权利要求1所述的自动化渗透性测试系统,其特征在于:所述系统用于在已完成开发的WEB网站或正在开发过程中的WEB网站,对相关程序自动进行渗透化扫描检测,以发现各种安全漏洞,并对该WEB网站或系统做出整体安全性评估报告或综合风险列表,以供技术人员进一步分析包括SQL注入、缓冲区溢出、输入验证和其它安全问题,降低WEB网站开发项目的安全开销,并提高软件开发人员的安全代码意识,降低相关项目的安全风险。
6、一种用于WEB系统的自动化渗透性测试系统的工作方法,其特征在于:先接受用户提交的WEB网站的URL信息,再判断用户是否设置登录,以进行渗透性扫描;如果用户设置登录,则调用本地浏览器,供用户与目标网站进行交互,同时通过自身代理记录该用户的登录信息,并查询相应的扫描规则;如果用户未设置登录,则直接进行扫描检测;检测时,先查询对应的规则并向该网站地址发送探测包,再根据规则对返回的应答信息进行匹配,如果匹配成功,则确认存在风险,再继续查询下一条规则;如果未匹配成功,则直接返回和继续查询下一条规则,直至按照全部规则都检测一遍,完成扫描,并报告检测结果。
7、根据权利要求6所述的自动化渗透性测试系统的工作方法,其特征在于:所述方法包括下列操作步骤:
(1)系统通过GUI表示层的用户界面模块接受用户的设置命令。并根据用户命令决定是否调用浏览器,如果要调用,则顺序执行步骤(2),否则,跳转执行步骤(3);
(2)调用浏览器代理模块,获取用户登录认证信息;
(3)根据用户的配置命令,选择相应的常规扫描或渗透扫描方式,并调用相应的扫描模块进行扫描检测;
(4)逻辑层的扫描调度模块汇总扫描检测结果,并存储于临时数据库;
(5)扫描调度模块从临时数据库中调出检测结果,并输出到GUI表示层的报告与结果显示模块,以生成扫描检测报告;
(6)系统根据用户在表示层的任务配置模块中设置的命令,输出该扫描检测报告。
8、根据权利要求7所述的自动化渗透性测试系统的工作方法,其特征在于:所述步骤(3)中,常规扫描模块进行的常规扫描处理的具体过程如下:先查询对应的常规扫描规则,并调用包构造器模块根据规则构建探测包,然后向目标网站发送;再根据常规扫描规则库的规则对从目标网站返回的应答信息进行匹配检测,如果与规则匹配成功,则确认存在风险,继续顺序查询下一条规则;如果与规则匹配不成功,则直接顺序查询下一条规则,直至规则轮询结束,完成扫描后,通知报告与结果显示模块,生成文件形式的扫描检测报告。
9、根据权利要求7所述的自动化渗透性测试系统的工作方法,其特征在于:所述步骤(3)中,在渗透扫描模块进行扫描之前,先由预扫描模块对该网站进行预扫描处理的具体过程如下:先通过包构造器模块向该网站请求一个不可能存在的资源,并将返回的非标准错误应答信息转换为自定义的特征字段保存起来,用于与以后进行的渗透扫描探测时返回的应答作对比,增强扫描的准确性;如果返回的是标准的错误应答信息,则直接记录该错误应答信息中的特征字段;如果预扫描过程中出现页面跳转,则忽略跳转后的内容;而将默认为错误页面的该跳转页面标识为以标准错误应答信息为特征的错误页面,以防止因跳转页面而产生过于泛化的误报;
同时,在请求不存在的资源后,将浏览器页面返回给用户,并直接在浏览器中显示返回结果,以便与在扫描初期由用户指定的、以正则表达式表示的出错页面的特征字段进行比对,如果两者信息匹配,则表示出现错误,这样能够协助渗透扫描模块发现与确认安全漏洞。
10、根据权利要求7或9所述的自动化渗透性测试系统的工作方法,其特征在于:所述步骤(3)中,渗透扫描模块进行的渗透扫描的具体过程如下:先提取该网站的内部页面链接,将分析结果存储于临时数据库;再进行预扫描,并将该预扫描过程得到的目的网站的错误页面也存储于临时数据库;然后,取出临时数据库中的链接信息,由渗透扫描模块调用包构造器模块根据对应的渗透测试规则构建探测包,开发往这些内部链接对应的页面,再根据渗透扫描规则库的规则对返回的应答信息进行匹配,如果两者匹配,则确认存在风险,返回继续查询下一条规则;如果两者不匹配,则直接返回查询下一条规则;同时针对每个链接页面,根据储存在临时库的信息分析出HTML中存在的注入点,并尝试向这些注入点提交渗透探测数据,再以预扫描获得的默认出错页面为标准,判断确定是否存在注入漏洞,以设定的脚本返回来确定是否存在跨站脚本攻击XSS漏洞,实现自动探测;直至规则轮询结束,完成扫描后,通知报告与结果显示模块,生成扫描检测报告。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810101530XA CN101242279B (zh) | 2008-03-07 | 2008-03-07 | 用于web系统的自动化渗透性测试系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810101530XA CN101242279B (zh) | 2008-03-07 | 2008-03-07 | 用于web系统的自动化渗透性测试系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101242279A true CN101242279A (zh) | 2008-08-13 |
| CN101242279B CN101242279B (zh) | 2010-06-16 |
Family
ID=39933508
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810101530XA Expired - Fee Related CN101242279B (zh) | 2008-03-07 | 2008-03-07 | 用于web系统的自动化渗透性测试系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101242279B (zh) |
Cited By (67)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101808093A (zh) * | 2010-03-15 | 2010-08-18 | 北京安天电子设备有限公司 | 一种对web安全进行自动化检测的系统和方法 |
| CN102082659A (zh) * | 2009-12-01 | 2011-06-01 | 厦门市美亚柏科信息股份有限公司 | 一种面向网络安全评估的漏洞扫描系统及其处理方法 |
| CN102104601A (zh) * | 2011-01-14 | 2011-06-22 | 无锡市同威科技有限公司 | 一种基于渗透技术的web漏洞扫描方法和漏洞扫描器 |
| CN102136051A (zh) * | 2011-05-06 | 2011-07-27 | 南开大学 | 一种应用SGM-SQL注入模型驱动web应用渗透测试的方法 |
| CN102468985A (zh) * | 2010-11-01 | 2012-05-23 | 北京神州绿盟信息安全科技股份有限公司 | 针对网络安全设备进行渗透测试的方法和系统 |
| CN102546639A (zh) * | 2012-01-12 | 2012-07-04 | 北京航空航天大学 | 一种面向网络的渗透测试方案自动生成方法 |
| CN102710456A (zh) * | 2012-04-21 | 2012-10-03 | 北京迈凯互动网络科技有限公司 | 移动应用测试方法和系统 |
| CN102739663A (zh) * | 2012-06-18 | 2012-10-17 | 奇智软件(北京)有限公司 | 网页检测方法与扫描引擎 |
| CN102789502A (zh) * | 2012-07-17 | 2012-11-21 | 北京奇虎科技有限公司 | 网站的扫描方法和装置 |
| CN102819710A (zh) * | 2012-08-22 | 2012-12-12 | 西北工业大学 | 基于渗透测试的跨站点脚本漏洞检测方法 |
| CN102880702A (zh) * | 2012-09-24 | 2013-01-16 | 杭州安恒信息技术有限公司 | 数据库内核入侵隐藏触发器的探测方法及系统 |
| CN102880701A (zh) * | 2012-09-24 | 2013-01-16 | 杭州安恒信息技术有限公司 | 数据库内核入侵隐藏对象的探测方法及系统 |
| CN103095681A (zh) * | 2012-12-03 | 2013-05-08 | 微梦创科网络科技(中国)有限公司 | 一种检测漏洞的方法及装置 |
| CN103186442A (zh) * | 2011-12-31 | 2013-07-03 | 中国银联股份有限公司 | 系统的测试方法和装置 |
| CN103200230A (zh) * | 2013-03-01 | 2013-07-10 | 南京理工大学常熟研究院有限公司 | 基于可移动代理的漏洞扫描方法 |
| CN103368965A (zh) * | 2013-07-18 | 2013-10-23 | 北京随方信息技术有限公司 | 一种将网络安全规范映射为网络所对应的属性要求的工作方法 |
| CN103634280A (zh) * | 2012-08-23 | 2014-03-12 | 百度在线网络技术(北京)有限公司 | 一种网站安全扫描方法及装置 |
| CN103679022A (zh) * | 2012-09-20 | 2014-03-26 | 腾讯科技(深圳)有限公司 | 病毒扫描方法和装置 |
| CN103810180A (zh) * | 2012-11-07 | 2014-05-21 | 江苏仕德伟网络科技股份有限公司 | 一种网站体检评分标准的方法 |
| CN103856467A (zh) * | 2012-12-06 | 2014-06-11 | 百度在线网络技术(北京)有限公司 | 一种实现安全扫描的方法及分布式系统 |
| CN103929429A (zh) * | 2014-04-24 | 2014-07-16 | 北京邮电大学 | 基于RESTful Web服务的网络漏洞扫描系统及方法 |
| CN104063310A (zh) * | 2013-03-22 | 2014-09-24 | 阿里巴巴集团控股有限公司 | Web前端质量检测方法与装置 |
| CN104184762A (zh) * | 2013-05-23 | 2014-12-03 | 腾讯科技(深圳)有限公司 | 一种服务器故障信息反馈方法和系统 |
| CN104200167A (zh) * | 2014-08-05 | 2014-12-10 | 杭州安恒信息技术有限公司 | 自动化渗透测试方法及系统 |
| CN104246771A (zh) * | 2012-04-19 | 2014-12-24 | 微软公司 | 按照上下文链接web扩展和内容 |
| CN104468485A (zh) * | 2013-09-23 | 2015-03-25 | 西门子公司 | 一种网页扫描方法、装置和系统 |
| CN104580144A (zh) * | 2014-11-26 | 2015-04-29 | 中国信息安全测评中心 | 针对无线数传电台数据传输安全的渗透测试方法 |
| CN104583949A (zh) * | 2012-08-16 | 2015-04-29 | 高通股份有限公司 | Web浏览器中的脚本的预处理 |
| WO2015120787A1 (en) * | 2014-02-11 | 2015-08-20 | Tencent Technology (Shenzhen) Company Limited | Webpage detection method and apparatus |
| CN104866769A (zh) * | 2015-06-01 | 2015-08-26 | 广东电网有限责任公司信息中心 | 一种基于业务系统主机指纹采集的漏洞分析方法及系统 |
| CN104881607A (zh) * | 2015-05-21 | 2015-09-02 | 北京工业大学 | 一种基于模拟浏览器行为的xss漏洞检测系统 |
| CN105068925A (zh) * | 2015-07-29 | 2015-11-18 | 北京理工大学 | 软件安全缺陷发现系统 |
| CN105763530A (zh) * | 2015-12-12 | 2016-07-13 | 哈尔滨安天科技股份有限公司 | 一种基于web的威胁情报采集系统及方法 |
| CN105827642A (zh) * | 2016-05-16 | 2016-08-03 | 深圳市安络科技有限公司 | 一种自动化渗透测试方法及系统 |
| CN106055985A (zh) * | 2016-05-31 | 2016-10-26 | 乐视控股(北京)有限公司 | 自动化的漏洞检测方法及装置 |
| CN103186442B (zh) * | 2011-12-31 | 2016-12-14 | 中国银联股份有限公司 | 系统的测试方法和装置 |
| CN103955425B (zh) * | 2014-04-16 | 2017-02-15 | 中国工商银行股份有限公司 | 网页web探索测试装置及方法 |
| CN106878339A (zh) * | 2017-03-30 | 2017-06-20 | 国网福建省电力有限公司 | 一种基于物联网终端设备的漏洞扫描系统及方法 |
| CN107122663A (zh) * | 2017-04-28 | 2017-09-01 | 成都梆梆信息科技有限公司 | 一种注入攻击检测方法及装置 |
| CN107454081A (zh) * | 2017-08-07 | 2017-12-08 | 四川长虹电器股份有限公司 | 自动生成poc脚本的方法 |
| CN107508720A (zh) * | 2017-07-25 | 2017-12-22 | 中国银联股份有限公司 | 一种自动化测试方法及装置 |
| CN107682350A (zh) * | 2017-10-19 | 2018-02-09 | 杭州安恒信息技术有限公司 | 基于网站安全评分的主动防御方法、装置及电子设备 |
| CN107832221A (zh) * | 2017-11-15 | 2018-03-23 | 杭州安恒信息技术有限公司 | 基于Burpsuit插件的平台半自动化功能测试方法、装置及系统 |
| CN107908965A (zh) * | 2017-11-14 | 2018-04-13 | 北京知道创宇信息技术有限公司 | 疑似sql注入类型的检测方法及装置 |
| CN107908959A (zh) * | 2017-11-10 | 2018-04-13 | 北京知道创宇信息技术有限公司 | 网站信息检测方法、装置、电子设备及存储介质 |
| CN108231129A (zh) * | 2016-12-15 | 2018-06-29 | 北京兆易创新科技股份有限公司 | 一种emmc测试方法及装置 |
| CN108512859A (zh) * | 2018-04-16 | 2018-09-07 | 贵州大学 | 一种Web应用安全漏洞挖掘方法和装置 |
| CN108616389A (zh) * | 2018-04-10 | 2018-10-02 | 深信服科技股份有限公司 | 基于云服务器的网络评估方法、设备、存储介质及装置 |
| CN108737213A (zh) * | 2018-05-22 | 2018-11-02 | 中国电子科技集团公司第四十研究所 | 一种基于fpga的高并行大吞吐量渗透测试系统及方法 |
| CN110086806A (zh) * | 2019-04-26 | 2019-08-02 | 中国南方电网有限责任公司 | 一种厂站设备系统漏洞的扫描系统 |
| CN110221977A (zh) * | 2019-06-03 | 2019-09-10 | 江苏亨通工控安全研究院有限公司 | 基于ai的网站渗透测试方法 |
| WO2020000748A1 (zh) * | 2018-06-30 | 2020-01-02 | 平安科技(深圳)有限公司 | 一种文件检测方法及装置 |
| CN110727432A (zh) * | 2019-10-08 | 2020-01-24 | 支付宝(杭州)信息技术有限公司 | 一种基于目标注入对象的风险注入方法和系统 |
| CN110909361A (zh) * | 2019-11-08 | 2020-03-24 | 北京长亭未来科技有限公司 | 一种漏洞检测方法,装置和计算机设备 |
| CN111008376A (zh) * | 2019-12-09 | 2020-04-14 | 国网山东省电力公司电力科学研究院 | 一种基于代码动态分析的移动应用源代码安全审计系统 |
| CN111355688A (zh) * | 2018-12-21 | 2020-06-30 | 上海视岳计算机科技有限公司 | 一种基于ai技术自动渗透、分析的核心方法及装置 |
| CN111666572A (zh) * | 2020-06-03 | 2020-09-15 | 辽宁北方实验室有限公司 | 一种自动化渗透测试框架 |
| CN112613041A (zh) * | 2020-12-25 | 2021-04-06 | 南方电网深圳数字电网研究院有限公司 | 容器镜像检测方法和装置、电子设备、存储介质 |
| CN112818411A (zh) * | 2021-01-22 | 2021-05-18 | 深圳市今日投资数据科技有限公司 | 数据检测方法及装置 |
| CN113377645A (zh) * | 2020-02-25 | 2021-09-10 | 福建天泉教育科技有限公司 | 一种web网站页面输入非法字符的测试方法及其系统 |
| CN114070812A (zh) * | 2016-10-21 | 2022-02-18 | 好事达保险公司 | 用于数字安全和账户发现的系统和方法 |
| CN114448665A (zh) * | 2021-12-22 | 2022-05-06 | 天翼云科技有限公司 | 一种web应用防火墙规则检测方法、装置及电子设备 |
| CN114760148A (zh) * | 2022-06-10 | 2022-07-15 | 北京航天驭星科技有限公司 | 一种渗透测试方法、平台、电子设备及存储介质 |
| CN114816558A (zh) * | 2022-03-07 | 2022-07-29 | 深圳开源互联网安全技术有限公司 | 一种脚本注入方法、设备及计算机可读存储介质 |
| US11606371B2 (en) | 2016-05-10 | 2023-03-14 | Allstate Insurance Company | Digital safety and account discovery |
| US11895131B2 (en) | 2016-05-10 | 2024-02-06 | Allstate Insurance Company | Digital safety and account discovery |
| US12010123B2 (en) | 2016-05-10 | 2024-06-11 | Allstate Insurance Company | Cyber-security presence monitoring and assessment |
-
2008
- 2008-03-07 CN CN200810101530XA patent/CN101242279B/zh not_active Expired - Fee Related
Cited By (98)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102082659A (zh) * | 2009-12-01 | 2011-06-01 | 厦门市美亚柏科信息股份有限公司 | 一种面向网络安全评估的漏洞扫描系统及其处理方法 |
| CN102082659B (zh) * | 2009-12-01 | 2014-07-23 | 厦门市美亚柏科信息股份有限公司 | 一种面向网络安全评估的漏洞扫描系统及其处理方法 |
| CN101808093A (zh) * | 2010-03-15 | 2010-08-18 | 北京安天电子设备有限公司 | 一种对web安全进行自动化检测的系统和方法 |
| CN101808093B (zh) * | 2010-03-15 | 2013-08-07 | 北京安天电子设备有限公司 | 一种对web安全进行自动化检测的系统和方法 |
| CN102468985B (zh) * | 2010-11-01 | 2016-03-23 | 北京神州绿盟信息安全科技股份有限公司 | 针对网络安全设备进行渗透测试的方法和系统 |
| CN102468985A (zh) * | 2010-11-01 | 2012-05-23 | 北京神州绿盟信息安全科技股份有限公司 | 针对网络安全设备进行渗透测试的方法和系统 |
| CN102104601A (zh) * | 2011-01-14 | 2011-06-22 | 无锡市同威科技有限公司 | 一种基于渗透技术的web漏洞扫描方法和漏洞扫描器 |
| CN102136051A (zh) * | 2011-05-06 | 2011-07-27 | 南开大学 | 一种应用SGM-SQL注入模型驱动web应用渗透测试的方法 |
| CN103186442A (zh) * | 2011-12-31 | 2013-07-03 | 中国银联股份有限公司 | 系统的测试方法和装置 |
| CN103186442B (zh) * | 2011-12-31 | 2016-12-14 | 中国银联股份有限公司 | 系统的测试方法和装置 |
| CN102546639A (zh) * | 2012-01-12 | 2012-07-04 | 北京航空航天大学 | 一种面向网络的渗透测试方案自动生成方法 |
| CN102546639B (zh) * | 2012-01-12 | 2014-09-10 | 北京航空航天大学 | 一种面向网络的渗透测试方案自动生成方法 |
| CN104246771A (zh) * | 2012-04-19 | 2014-12-24 | 微软公司 | 按照上下文链接web扩展和内容 |
| CN104246771B (zh) * | 2012-04-19 | 2018-04-27 | 微软技术许可有限责任公司 | 按照上下文链接web扩展和内容 |
| CN102710456A (zh) * | 2012-04-21 | 2012-10-03 | 北京迈凯互动网络科技有限公司 | 移动应用测试方法和系统 |
| CN102739663A (zh) * | 2012-06-18 | 2012-10-17 | 奇智软件(北京)有限公司 | 网页检测方法与扫描引擎 |
| CN102789502B (zh) * | 2012-07-17 | 2015-02-18 | 北京奇虎科技有限公司 | 网站的扫描方法和装置 |
| CN102789502A (zh) * | 2012-07-17 | 2012-11-21 | 北京奇虎科技有限公司 | 网站的扫描方法和装置 |
| CN104583949A (zh) * | 2012-08-16 | 2015-04-29 | 高通股份有限公司 | Web浏览器中的脚本的预处理 |
| CN102819710A (zh) * | 2012-08-22 | 2012-12-12 | 西北工业大学 | 基于渗透测试的跨站点脚本漏洞检测方法 |
| CN102819710B (zh) * | 2012-08-22 | 2014-11-12 | 西北工业大学 | 基于渗透测试的跨站点脚本漏洞检测方法 |
| CN103634280A (zh) * | 2012-08-23 | 2014-03-12 | 百度在线网络技术(北京)有限公司 | 一种网站安全扫描方法及装置 |
| CN103634280B (zh) * | 2012-08-23 | 2018-11-09 | 百度在线网络技术(北京)有限公司 | 一种网站安全扫描方法及装置 |
| CN103679022B (zh) * | 2012-09-20 | 2016-04-20 | 腾讯科技(深圳)有限公司 | 病毒扫描方法和装置 |
| CN103679022A (zh) * | 2012-09-20 | 2014-03-26 | 腾讯科技(深圳)有限公司 | 病毒扫描方法和装置 |
| CN102880701A (zh) * | 2012-09-24 | 2013-01-16 | 杭州安恒信息技术有限公司 | 数据库内核入侵隐藏对象的探测方法及系统 |
| CN102880701B (zh) * | 2012-09-24 | 2016-06-29 | 杭州安恒信息技术有限公司 | 数据库内核入侵隐藏对象的探测方法及系统 |
| CN102880702A (zh) * | 2012-09-24 | 2013-01-16 | 杭州安恒信息技术有限公司 | 数据库内核入侵隐藏触发器的探测方法及系统 |
| CN103810180A (zh) * | 2012-11-07 | 2014-05-21 | 江苏仕德伟网络科技股份有限公司 | 一种网站体检评分标准的方法 |
| CN103095681A (zh) * | 2012-12-03 | 2013-05-08 | 微梦创科网络科技(中国)有限公司 | 一种检测漏洞的方法及装置 |
| CN103095681B (zh) * | 2012-12-03 | 2016-08-03 | 微梦创科网络科技(中国)有限公司 | 一种检测漏洞的方法及装置 |
| CN103856467A (zh) * | 2012-12-06 | 2014-06-11 | 百度在线网络技术(北京)有限公司 | 一种实现安全扫描的方法及分布式系统 |
| CN103856467B (zh) * | 2012-12-06 | 2018-12-14 | 百度在线网络技术(北京)有限公司 | 一种实现安全扫描的方法及分布式系统 |
| CN103200230A (zh) * | 2013-03-01 | 2013-07-10 | 南京理工大学常熟研究院有限公司 | 基于可移动代理的漏洞扫描方法 |
| CN103200230B (zh) * | 2013-03-01 | 2016-01-06 | 南京理工大学常熟研究院有限公司 | 基于可移动代理的漏洞扫描方法 |
| CN104063310A (zh) * | 2013-03-22 | 2014-09-24 | 阿里巴巴集团控股有限公司 | Web前端质量检测方法与装置 |
| CN104063310B (zh) * | 2013-03-22 | 2017-06-06 | 阿里巴巴集团控股有限公司 | Web前端质量检测方法与装置 |
| CN104184762B (zh) * | 2013-05-23 | 2019-02-15 | 腾讯科技(深圳)有限公司 | 一种服务器故障信息反馈方法和系统 |
| CN104184762A (zh) * | 2013-05-23 | 2014-12-03 | 腾讯科技(深圳)有限公司 | 一种服务器故障信息反馈方法和系统 |
| CN103368965A (zh) * | 2013-07-18 | 2013-10-23 | 北京随方信息技术有限公司 | 一种将网络安全规范映射为网络所对应的属性要求的工作方法 |
| CN104468485A (zh) * | 2013-09-23 | 2015-03-25 | 西门子公司 | 一种网页扫描方法、装置和系统 |
| CN104468485B (zh) * | 2013-09-23 | 2018-11-16 | 西门子公司 | 一种网页扫描方法、装置和系统 |
| WO2015120787A1 (en) * | 2014-02-11 | 2015-08-20 | Tencent Technology (Shenzhen) Company Limited | Webpage detection method and apparatus |
| CN103955425B (zh) * | 2014-04-16 | 2017-02-15 | 中国工商银行股份有限公司 | 网页web探索测试装置及方法 |
| CN103929429B (zh) * | 2014-04-24 | 2017-07-21 | 北京邮电大学 | 基于RESTful Web服务的网络漏洞扫描系统及方法 |
| CN103929429A (zh) * | 2014-04-24 | 2014-07-16 | 北京邮电大学 | 基于RESTful Web服务的网络漏洞扫描系统及方法 |
| CN104200167A (zh) * | 2014-08-05 | 2014-12-10 | 杭州安恒信息技术有限公司 | 自动化渗透测试方法及系统 |
| CN104580144A (zh) * | 2014-11-26 | 2015-04-29 | 中国信息安全测评中心 | 针对无线数传电台数据传输安全的渗透测试方法 |
| CN104881607A (zh) * | 2015-05-21 | 2015-09-02 | 北京工业大学 | 一种基于模拟浏览器行为的xss漏洞检测系统 |
| CN104881607B (zh) * | 2015-05-21 | 2017-12-29 | 北京工业大学 | 一种基于模拟浏览器行为的xss漏洞检测系统 |
| CN104866769A (zh) * | 2015-06-01 | 2015-08-26 | 广东电网有限责任公司信息中心 | 一种基于业务系统主机指纹采集的漏洞分析方法及系统 |
| CN105068925A (zh) * | 2015-07-29 | 2015-11-18 | 北京理工大学 | 软件安全缺陷发现系统 |
| CN105068925B (zh) * | 2015-07-29 | 2017-09-01 | 北京理工大学 | 软件安全缺陷发现系统 |
| CN105763530A (zh) * | 2015-12-12 | 2016-07-13 | 哈尔滨安天科技股份有限公司 | 一种基于web的威胁情报采集系统及方法 |
| US12028358B2 (en) | 2016-05-10 | 2024-07-02 | Allstate Insurance Company | Digital safety and account discovery |
| US11606371B2 (en) | 2016-05-10 | 2023-03-14 | Allstate Insurance Company | Digital safety and account discovery |
| US11895131B2 (en) | 2016-05-10 | 2024-02-06 | Allstate Insurance Company | Digital safety and account discovery |
| US12010123B2 (en) | 2016-05-10 | 2024-06-11 | Allstate Insurance Company | Cyber-security presence monitoring and assessment |
| CN105827642A (zh) * | 2016-05-16 | 2016-08-03 | 深圳市安络科技有限公司 | 一种自动化渗透测试方法及系统 |
| CN106055985A (zh) * | 2016-05-31 | 2016-10-26 | 乐视控股(北京)有限公司 | 自动化的漏洞检测方法及装置 |
| CN114070812A (zh) * | 2016-10-21 | 2022-02-18 | 好事达保险公司 | 用于数字安全和账户发现的系统和方法 |
| CN114070812B (zh) * | 2016-10-21 | 2023-10-03 | 好事达保险公司 | 用于数字安全和账户发现的系统和方法 |
| CN108231129A (zh) * | 2016-12-15 | 2018-06-29 | 北京兆易创新科技股份有限公司 | 一种emmc测试方法及装置 |
| CN106878339A (zh) * | 2017-03-30 | 2017-06-20 | 国网福建省电力有限公司 | 一种基于物联网终端设备的漏洞扫描系统及方法 |
| CN107122663B (zh) * | 2017-04-28 | 2021-04-02 | 北京梆梆安全科技有限公司 | 一种注入攻击检测方法及装置 |
| CN107122663A (zh) * | 2017-04-28 | 2017-09-01 | 成都梆梆信息科技有限公司 | 一种注入攻击检测方法及装置 |
| CN107508720A (zh) * | 2017-07-25 | 2017-12-22 | 中国银联股份有限公司 | 一种自动化测试方法及装置 |
| CN107454081A (zh) * | 2017-08-07 | 2017-12-08 | 四川长虹电器股份有限公司 | 自动生成poc脚本的方法 |
| CN107682350B (zh) * | 2017-10-19 | 2020-03-13 | 杭州安恒信息技术股份有限公司 | 基于网站安全评分的主动防御方法、装置及电子设备 |
| CN107682350A (zh) * | 2017-10-19 | 2018-02-09 | 杭州安恒信息技术有限公司 | 基于网站安全评分的主动防御方法、装置及电子设备 |
| CN107908959A (zh) * | 2017-11-10 | 2018-04-13 | 北京知道创宇信息技术有限公司 | 网站信息检测方法、装置、电子设备及存储介质 |
| CN107908959B (zh) * | 2017-11-10 | 2020-02-14 | 北京知道创宇信息技术股份有限公司 | 网站信息检测方法、装置、电子设备及存储介质 |
| CN107908965A (zh) * | 2017-11-14 | 2018-04-13 | 北京知道创宇信息技术有限公司 | 疑似sql注入类型的检测方法及装置 |
| CN107832221A (zh) * | 2017-11-15 | 2018-03-23 | 杭州安恒信息技术有限公司 | 基于Burpsuit插件的平台半自动化功能测试方法、装置及系统 |
| CN108616389A (zh) * | 2018-04-10 | 2018-10-02 | 深信服科技股份有限公司 | 基于云服务器的网络评估方法、设备、存储介质及装置 |
| CN108512859A (zh) * | 2018-04-16 | 2018-09-07 | 贵州大学 | 一种Web应用安全漏洞挖掘方法和装置 |
| CN108737213A (zh) * | 2018-05-22 | 2018-11-02 | 中国电子科技集团公司第四十研究所 | 一种基于fpga的高并行大吞吐量渗透测试系统及方法 |
| CN108737213B (zh) * | 2018-05-22 | 2020-06-09 | 中国电子科技集团公司第四十一研究所 | 一种基于fpga的高并行大吞吐量渗透测试系统及方法 |
| WO2020000748A1 (zh) * | 2018-06-30 | 2020-01-02 | 平安科技(深圳)有限公司 | 一种文件检测方法及装置 |
| CN111355688A (zh) * | 2018-12-21 | 2020-06-30 | 上海视岳计算机科技有限公司 | 一种基于ai技术自动渗透、分析的核心方法及装置 |
| CN110086806A (zh) * | 2019-04-26 | 2019-08-02 | 中国南方电网有限责任公司 | 一种厂站设备系统漏洞的扫描系统 |
| CN110221977B (zh) * | 2019-06-03 | 2023-04-14 | 江苏亨通工控安全研究院有限公司 | 基于ai的网站渗透测试方法 |
| CN110221977A (zh) * | 2019-06-03 | 2019-09-10 | 江苏亨通工控安全研究院有限公司 | 基于ai的网站渗透测试方法 |
| CN110727432A (zh) * | 2019-10-08 | 2020-01-24 | 支付宝(杭州)信息技术有限公司 | 一种基于目标注入对象的风险注入方法和系统 |
| CN110727432B (zh) * | 2019-10-08 | 2022-04-12 | 支付宝(杭州)信息技术有限公司 | 一种基于目标注入对象的风险注入方法和系统 |
| CN110909361A (zh) * | 2019-11-08 | 2020-03-24 | 北京长亭未来科技有限公司 | 一种漏洞检测方法,装置和计算机设备 |
| CN111008376B (zh) * | 2019-12-09 | 2021-11-05 | 国网山东省电力公司电力科学研究院 | 一种基于代码动态分析的移动应用源代码安全审计系统 |
| CN111008376A (zh) * | 2019-12-09 | 2020-04-14 | 国网山东省电力公司电力科学研究院 | 一种基于代码动态分析的移动应用源代码安全审计系统 |
| CN113377645A (zh) * | 2020-02-25 | 2021-09-10 | 福建天泉教育科技有限公司 | 一种web网站页面输入非法字符的测试方法及其系统 |
| CN113377645B (zh) * | 2020-02-25 | 2023-07-04 | 福建天泉教育科技有限公司 | 一种web网站页面输入非法字符的测试方法及其系统 |
| CN111666572A (zh) * | 2020-06-03 | 2020-09-15 | 辽宁北方实验室有限公司 | 一种自动化渗透测试框架 |
| CN111666572B (zh) * | 2020-06-03 | 2023-07-04 | 北方实验室(沈阳)股份有限公司 | 一种自动化渗透测试框架系统 |
| CN112613041A (zh) * | 2020-12-25 | 2021-04-06 | 南方电网深圳数字电网研究院有限公司 | 容器镜像检测方法和装置、电子设备、存储介质 |
| CN112818411A (zh) * | 2021-01-22 | 2021-05-18 | 深圳市今日投资数据科技有限公司 | 数据检测方法及装置 |
| CN114448665A (zh) * | 2021-12-22 | 2022-05-06 | 天翼云科技有限公司 | 一种web应用防火墙规则检测方法、装置及电子设备 |
| CN114816558B (zh) * | 2022-03-07 | 2023-06-30 | 深圳市九州安域科技有限公司 | 一种脚本注入方法、设备及计算机可读存储介质 |
| CN114816558A (zh) * | 2022-03-07 | 2022-07-29 | 深圳开源互联网安全技术有限公司 | 一种脚本注入方法、设备及计算机可读存储介质 |
| CN114760148A (zh) * | 2022-06-10 | 2022-07-15 | 北京航天驭星科技有限公司 | 一种渗透测试方法、平台、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101242279B (zh) | 2010-06-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101242279B (zh) | 用于web系统的自动化渗透性测试系统和方法 | |
| CN109325351B (zh) | 一种基于众测平台的安全漏洞自动化验证系统 | |
| US10243679B2 (en) | Vulnerability detection | |
| Fonseca et al. | Testing and comparing web vulnerability scanning tools for SQL injection and XSS attacks | |
| Vieira et al. | Using web security scanners to detect vulnerabilities in web services | |
| US8365289B2 (en) | System and method for providing network penetration testing | |
| US8484738B2 (en) | System and method for providing application penetration testing | |
| CN103065095A (zh) | 一种基于指纹识别技术的web漏洞扫描方法和漏洞扫描器 | |
| Qasaimeh et al. | Black box evaluation of web application scanners: Standards mapping approach | |
| CN112906011B (zh) | 漏洞发现方法、测试方法、安全测试方法及相关装置、平台 | |
| CN113868659B (zh) | 一种漏洞检测方法及系统 | |
| CN111104579A (zh) | 一种公网资产的识别方法、装置及存储介质 | |
| CN114003794A (zh) | 资产收集方法、装置、电子设备和介质 | |
| CN108965327B (zh) | 检测系统漏洞的方法、装置、计算机设备以及存储介质 | |
| Zukran et al. | Performance comparison on sql injection and xss detection using open source vulnerability scanners | |
| CN113868669A (zh) | 一种漏洞检测方法及系统 | |
| CN111125066B (zh) | 检测数据库审计设备功能的方法及装置 | |
| CN105282150B (zh) | 一种面向Web系统的登录助手系统 | |
| Pan et al. | EDEFuzz: A Web API Fuzzer for Excessive Data Exposures | |
| CN118036009A (zh) | 处理安全漏洞的方法、装置及电子设备 | |
| Xiong et al. | Model-based penetration test framework for web applications using TTCN-3 | |
| CN116094808A (zh) | 基于RBAC模式Web应用安全的访问控制漏洞检测方法及系统 | |
| CN114880653A (zh) | 一种面向java web服务的漏洞扫描系统及方法 | |
| CN113886837A (zh) | 一种漏洞检测工具可信度验证方法和系统 | |
| CN113868670A (zh) | 一种漏洞检测流程检验方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100616 Termination date: 20140307 |