CN111027074A - 一种漏洞自动化利用方法以及系统 - Google Patents
一种漏洞自动化利用方法以及系统 Download PDFInfo
- Publication number
- CN111027074A CN111027074A CN201911231867.7A CN201911231867A CN111027074A CN 111027074 A CN111027074 A CN 111027074A CN 201911231867 A CN201911231867 A CN 201911231867A CN 111027074 A CN111027074 A CN 111027074A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- information
- module
- utilization
- scanning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种漏洞自动化利用方法以及系统,属于漏洞识别技术领域。现有的漏洞自动化利用方案,渗透测试工作效率低,漏洞识别准确率低,无法对渗透的目标系统进行漏洞点的快速识别和验证。本发明提供一种双级渗透策略,首先对目标系统进行全面的信息收集和可疑漏洞探测,形成初步的渗透测试攻击面结果,然后对攻击面进行漏洞利用库匹配,执行匹配到的漏洞然后执行漏洞利用,提高渗透测试工作效率;采用Python动态加载函数的技术,利用插件形式提供不同类型的漏洞扫描工具集成,以提高漏洞识别准确率;最终实现对渗透的目标系统漏洞点的快速识别和验证,方案详细,切实可行。
Description
技术领域
本发明涉及一种漏洞自动化利用方法以及系统,属于漏洞识别技术领域。
背景技术
随着信息化技术的飞速发展,越来越多的传统企业对信息化建设也逐渐重视。在信息化系统建设初期很多时候没有考虑到安全问题,在后期的安全防护中,虽然有很多安全设备的支撑,但是业务系统中仍然会存在很多漏洞,这些漏洞就需要通过渗透测试的手段来发现。
但是现有的漏洞自动化利用系统,渗透测试工作效率低,漏洞识别准确率低,无法对渗透的目标系统进行漏洞点的快速识别和验证。
发明内容
针对现有技术的缺陷,本发明的目的在于提供一种双级渗透策略,首先对目标系统进行全面的信息收集和可疑漏洞探测,形成初步的渗透测试攻击面结果,然后对攻击面进行漏洞利用库匹配,执行匹配到的漏洞然后执行漏洞利用,提高渗透测试工作效率;同时采用全局信息收集结果表,提高漏洞扫描的程序扫描范围的精度,使扫描结果覆盖更加完整;采用Python动态加载函数的技术,利用插件形式提供不同类型的漏洞扫描工具集成,以提高漏洞识别准确率;最终实现对渗透的目标系统漏洞点的快速识别和验证的漏洞自动化利用方法以及系统。
为实现上述目的,本发明的技术方案为:
一种漏洞自动化利用方法, 包括以下步骤:
第一步:建立信息收集结果表,该表采用全局信息共享的形式,能够在整体的漏洞自动化检测利用过程中进行信息的获取,提高了信息重复利用率;
通过设计信息收集结果表能够提高漏洞扫描的程序扫描范围的精度,使扫描结果覆盖更加完整;
第二步:对目标系统进行全面的信息收集和可疑漏洞探测,形成初步的渗透测试攻击面结果;
第三步:建立漏洞库,对攻击面进行漏洞库匹配,执行匹配到的漏洞;
所述漏洞库保存各类隐患和漏洞信息;通过收集到的信息对目标系统组件和漏洞库进行漏洞信息匹配,以获得目标系统可能存在的漏洞,以提高漏洞扫描效率;
第四步:采用Python动态加载函数的技术,利用插件形式提供不同类型的漏洞扫描工具集成,以提高漏洞识别准确率;
第五步:建立漏洞利用库,保存当前支持的漏洞利用信息,用于匹配模块进行漏洞利用信息查询,然后执行漏洞利用;
第六步:对利用结果进行保存,将多种不同的工具输出信息进行汇总;呈现在报告中,查看具体能够执行成功的漏洞。
本发明提供一种双级渗透策略,首先对目标系统进行全面的信息收集和可疑漏洞探测,形成初步的渗透测试攻击面结果,然后对攻击面进行漏洞利用库匹配,执行匹配到的漏洞然后执行漏洞利用,提高渗透测试工作效率;同时采用全局信息收集结果表,提高漏洞扫描的程序扫描范围的精度,使扫描结果覆盖更加完整;采用Python动态加载函数的技术,利用插件形式提供不同类型的漏洞扫描工具集成,以提高漏洞识别准确率;最终实现对渗透的目标系统漏洞点的快速识别和验证,方案详细,切实可行。
一种漏洞自动化利用系统,应用上述漏洞自动化利用方法,其包括主控制台、协控制台、信息收集结果表、漏洞扫描模块、漏洞扫描插件、漏洞库、漏洞利用库、报表生成器;
所述主控制台,用于负责提供对整体框架的输入和输出,并且能够协调其余模块间的数据传输,统一调度各模块间的工作任务;
所述协控制台,用于负责控制各个执行模块的执行参数和结果输出,该模块提供了一个桥梁的作用,用于连接住控制台与各个模块之间的信息输入与输出;
通过主控制台与协控制台的分离可以在业务逻辑上对系统进行拆分,便于后期由于工作的需要进行分布式改造;
所述信息收集结果表为渗透测试前期信息收集模块自动收集信息的结果表,通过设计信息收集结果表能够提高漏洞扫描的程序扫描范围的精度,使扫描结果覆盖更加完整;
所述漏洞扫描模块,通过收集到的信息对目标系统组件和漏洞库进行漏洞信息匹配,提高漏洞扫描效率,该模块采用特征信息数据库保存了远程系统可能存在的各类隐患和漏洞信息,通过获取远程系统的特征与数据库中的数据进行匹配以获得目标系统可能存在的漏洞;采用特征匹配的模式,可以提高匹配效率,降低对目标系统的扫描压力。
所述漏洞扫描插件为漏洞扫描插件模块,通过采用Python动态加载函数的技术,为漏洞扫描模块通过插件形式提供不同类型的漏洞扫描工具集成;
所述漏洞库为漏洞扫描模块中的漏洞信息查询库,包括CVE、CNVD等公开漏洞库的信息,为扫描器提供漏洞信息;
所述漏洞利用库,保存了当前框架中支持的漏洞利用信息,用于匹配模块进行漏洞利用信息查询,同时存储了漏洞能够被用于获取信息、执行远程命令或者反弹shell的利用工具的集合,当匹配到相对应的漏洞的时候,能够尝试调用该漏洞利用库中的工具进行进一步的操作;漏洞扫描插件模块确认漏洞存在以后通过该模块对目标漏洞进行尝试利用。
所述报表生成器为渗透测试结果报表生成工具,能够将多种不同的工具输出信息进行汇总,提高渗透测试信息的覆盖程度,按照指定的格式进行数据梳理和格式化,定制输出不同的格式。
本发明利用收集的漏洞检测和漏洞利用方法通过漏洞自动化利用工具进行组合调用,实现了对信息系统已知漏洞和已知攻击手段的快速排查。本发明提供插件式的信息收集、漏洞扫描和漏洞利用模块,可以方便的对渗透测试过程中的多个步骤进行工具积累和扩展,能够通过集成调用第三方漏扫和漏洞利用工具,进而能够有效提高渗透测试工作效率,提高漏洞识别准确率,实现对渗透测试中漏洞的快速发现和验证。
作为优选技术措施:所述漏洞扫描插件,用于检测目标系统存在的漏洞,其包括用于检测某个文件中是否存在漏洞,用于检测某个目录中是否存在漏洞,用于检测某个参数中是否存在漏洞,在爬虫结束之后启动,直接使用爬虫的资源进行检测,用于检测比较常用的 Web 应用的漏洞。通过漏洞扫描模块收集可能存在的漏洞,然后调用该模块匹配对应的漏洞进行扫描验证,提高漏洞识别准确率。
作为优选技术措施:还包括:信息收集插件及接口、信息库、工具库;
所述信息收集插件及接口为信息收集模块的插件模块,能够通过标准化的接口与信息收集模块进行通信,以及采用插件的形式对信息收集工具进行扩展集成;
插件化的设计保证了该模块高度的灵活性与可扩展性,同时提高了后期该模块在并行化集成过程中的效率。
所述信息库能够对收集到的多方面信息进行汇总保存;
所述工具库为漏洞利用的工具库,其中包括各种漏洞利用工具,能够用于校验漏洞是否存在。
作为优选技术措施:还设有自主决策模块,该模块为渗透攻击决策模块,用于自动化的调度渗透攻击列表中的工具,以及分析返回结果确认是否进行下一次的漏洞利用行为;
该模块主要将渗透攻击列表的工具进行组织进行预定义,形成工具调用的工作流程模板,进行所有工具的调度,通过各个上一个工具反馈的不同信息在工作流程进行匹配下一步的操作。
与现有技术相比,本发明具有以下有益效果:
本发明提供一种双级渗透策略,首先对目标系统进行全面的信息收集和可疑漏洞探测,形成初步的渗透测试攻击面结果,然后对攻击面进行漏洞利用库匹配,执行匹配到的漏洞然后执行漏洞利用,提高渗透测试工作效率;同时采用全局信息收集结果表,提高漏洞扫描的程序扫描范围的精度,使扫描结果覆盖更加完整;采用Python动态加载函数的技术,利用插件形式提供不同类型的漏洞扫描工具集成,以提高漏洞识别准确率;最终实现对渗透的目标系统漏洞点的快速识别和验证,方案详细,切实可行。
附图说明
图1为本发明漏洞自动化利用框架结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
相反,本发明涵盖任何由权利要求定义的在本发明的精髓和范围上做的替代、修改、等效方法以及方案。进一步,为了使公众对本发明有更好的了解,在下文对本发明的细节描述中,详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本发明。
如图1所示,一种漏洞自动化利用方法, 包括以下步骤:
第一步:建立信息收集结果表,该表采用全局信息共享的形式,能够在整体的漏洞自动化检测利用过程中进行信息的获取,提高了信息重复利用率;
通过设计信息收集结果表能够提高漏洞扫描的程序扫描范围的精度,使扫描结果覆盖更加完整;
第二步:对目标系统进行全面的信息收集和可疑漏洞探测,形成初步的渗透测试攻击面结果;
第三步:建立漏洞库,对攻击面进行漏洞库匹配,执行匹配到的漏洞;
所述漏洞库保存各类隐患和漏洞信息;通过收集到的信息对目标系统组件和漏洞库进行漏洞信息匹配,以获得目标系统可能存在的漏洞,以提高漏洞扫描效率;
第四步:采用Python动态加载函数的技术,利用插件形式提供不同类型的漏洞扫描工具集成,以提高漏洞识别准确率;
第五步:建立漏洞利用库,保存当前支持的漏洞利用信息,用于匹配模块进行漏洞利用信息查询,然后执行漏洞利用;
第六步:对利用结果进行保存,将多种不同的工具输出信息进行汇总;呈现在报告中,查看具体能够执行成功的漏洞。
本发明提供一种双级渗透策略,首先对目标系统进行全面的信息收集和可疑漏洞探测,形成初步的渗透测试攻击面结果,然后对攻击面进行漏洞利用库匹配,执行匹配到的漏洞然后执行漏洞利用,提高渗透测试工作效率;同时采用全局信息收集结果表,提高漏洞扫描的程序扫描范围的精度,使扫描结果覆盖更加完整;采用Python动态加载函数的技术,利用插件形式提供不同类型的漏洞扫描工具集成,以提高漏洞识别准确率;最终实现对渗透的目标系统漏洞点的快速识别和验证,方案详细,切实可行。
一种漏洞自动化利用系统,应用上述漏洞自动化利用方法,其包括主控制台、协控制台、信息收集结果表、漏洞扫描模块、漏洞扫描插件、漏洞库、漏洞利用库、报表生成器;
所述主控制台,用于负责提供对整体框架的输入和输出,并且能够协调其余模块间的数据传输,统一调度各模块间的工作任务。
该摸块负责提供对整体框架的输入和输出格式统一,这里所有传递的信息均统一采用 XML 格式(可扩展性标记语言),是一个与用户交互的主界面。在主控模块中,渗透测试人员通过输入目标测试群的 IP 地址信息,将系统运行结果的信息保存在日志中。所以在该模块中,IP 参数和 LOG 参数是两个主要参数。主控模块的作用是能够协调其余模块间的数据传输,能够统一各模块间的工作任务。
所述协控制台,用于负责控制各个执行模块的执行参数和结果输出,该模块提供了一个桥梁的作用,用于连接住控制台与各个模块之间的信息输入与输出;
通过主控制台与协控制台的分离可以在业务逻辑上对系统进行拆分,便于后期由于工作的需要进行分布式改造;
所述信息收集结果表为渗透测试前期信息收集模块自动收集信息的结果表,通过设计信息收集结果表能够提高漏洞扫描的程序扫描范围的精度,使扫描结果覆盖更加完整;
所述漏洞扫描模块,通过收集到的信息对目标系统组件和漏洞库进行漏洞信息匹配,提高漏洞扫描效率,该模块采用特征信息数据库保存了远程系统可能存在的各类隐患和漏洞信息,通过获取远程系统的特征与数据库中的数据进行匹配以获得目标系统可能存在的漏洞;采用特征匹配的模式,可以提高匹配效率,降低对目标系统的扫描压力。
所述漏洞扫描插件为漏洞扫描插件模块,通过采用Python动态加载函数的技术,为漏洞扫描模块通过插件形式提供不同类型的漏洞扫描工具集成;
所述漏洞库为漏洞扫描模块中的漏洞信息查询库,包括CVE、CNVD等公开漏洞库的信息,为扫描器提供漏洞信息;
所述漏洞利用库,保存了当前框架中支持的漏洞利用信息,用于匹配模块进行漏洞利用信息查询,同时存储了漏洞能够被用于获取信息、执行远程命令或者反弹shell的利用工具的集合,当匹配到相对应的漏洞的时候,能够尝试调用该漏洞利用库中的工具进行进一步的操作;漏洞扫描插件模块确认漏洞存在以后通过该模块对目标漏洞进行尝试利用。
所述报表生成器为渗透测试结果报表生成工具,能够将多种不同的工具输出信息进行汇总,提高渗透测试信息的覆盖程度,按照指定的格式进行数据梳理和格式化,定制输出不同的格式。
本发明利用收集的漏洞检测和漏洞利用方法通过漏洞自动化利用工具进行组合调用,实现了对信息系统已知漏洞和已知攻击手段的快速排查。本发明提供插件式的信息收集、漏洞扫描和漏洞利用模块,可以方便的对渗透测试过程中的多个步骤进行工具积累和扩展,能够通过集成调用第三方漏扫和漏洞利用工具,进而能够有效提高渗透测试工作效率,提高漏洞识别准确率,实现对渗透测试中漏洞的快速发现和验证。
本发明漏洞扫描插件一种具体实施例:所述漏洞扫描插件,用于检测目标系统存在的漏洞,其包括用于检测某个文件中是否存在漏洞,用于检测某个目录中是否存在漏洞,用于检测某个参数中是否存在漏洞,在爬虫结束之后启动,直接使用爬虫的资源进行检测,用于检测比较常用的 Web 应用的漏洞。通过漏洞扫描模块收集可能存在的漏洞,然后调用该模块匹配对应的漏洞进行扫描验证,提高漏洞识别准确率。
本发明增设其他模块的一种具体实施例:还包括:信息收集插件及接口、信息库、工具库、漏洞扫描结果表、匹配模块、匹配表;
所述信息收集插件及接口为信息收集模块的插件模块,能够通过标准化的接口与信息收集模块进行通信,以及采用插件的形式对信息收集工具进行扩展集成;
插件化的设计保证了该模块高度的灵活性与可扩展性,同时提高了后期该模块在并行化集成过程中的效率。
所述信息库能够对收集到的多方面信息进行汇总保存;
所述工具库为漏洞利用的工具库,其中包括各种漏洞利用工具,能够用于校验漏洞是否存在。
所述漏洞扫描结果表:该模块为漏洞扫描器的扫描结果信息存储表。
所述匹配模块:该模块为匹配漏洞信息与工具库信息的模块,通过漏洞信息中的影响组件属性,进行匹配查询对应的利用工具。
所述匹配表:该模块为匹配模块根据漏洞信息和漏洞利用库进行匹配到的漏洞利用工具列表。
本发明设置自主决策模块一种具体实施例:还设有自主决策模块,该模块为渗透攻击决策模块,用于自动化的调度渗透攻击列表中的工具,以及分析返回结果确认是否进行下一次的漏洞利用行为;
该模块主要将渗透攻击列表的工具进行组织进行预定义,形成工具调用的工作流程模板,进行所有工具的调度,通过各个上一个工具反馈的不同信息在工作流程进行匹配下一步的操作。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种漏洞自动化利用方法,其特征在于,包括以下步骤:
第一步:建立信息收集结果表,该表采用全局信息共享的形式,能够在整体的漏洞自动化检测利用过程中进行信息的获取,提高了信息重复利用率;
第二步:对目标系统进行全面的信息收集和可疑漏洞探测,形成初步的渗透测试攻击面结果;
第三步:建立漏洞库,对攻击面进行漏洞库匹配,执行匹配到的漏洞;
所述漏洞库保存各类隐患和漏洞信息;通过收集到的信息对目标系统组件和漏洞库进行漏洞信息匹配,以获得目标系统可能存在的漏洞,以提高漏洞扫描效率;
第四步:采用Python动态加载函数的技术,利用插件形式提供不同类型的漏洞扫描工具集成,以提高漏洞识别准确率;
第五步:建立漏洞利用库,保存当前支持的漏洞利用信息,用于匹配模块进行漏洞利用信息查询,然后执行漏洞利用;
第六步:对利用结果进行保存,将多种不同的工具输出信息进行汇总;呈现在报告中,查看具体能够执行成功的漏洞。
2.一种漏洞自动化利用系统,其特征在于,应用如权利要求1所述的一种漏洞自动化利用方法,其包括主控制台、协控制台、信息收集结果表、漏洞扫描模块、漏洞扫描插件、漏洞库、漏洞利用库、报表生成器;
所述主控制台,用于负责提供对整体框架的输入和输出,并且能够协调其余模块间的数据传输,统一调度各模块间的工作任务;
所述协控制台,用于负责控制各个执行模块的执行参数和结果输出,该模块提供了一个桥梁的作用,用于连接住控制台与各个模块之间的信息输入与输出;
通过主控制台与协控制台的分离可以在业务逻辑上对系统进行拆分,便于后期由于工作的需要进行分布式改造;
所述信息收集结果表为渗透测试前期信息收集模块自动收集信息的结果表,通过设计信息收集结果表能够提高漏洞扫描的程序扫描范围的精度,使扫描结果覆盖更加完整;
所述漏洞扫描模块,通过收集到的信息对目标系统组件和漏洞库进行漏洞信息匹配,提高漏洞扫描效率,该模块采用特征信息数据库保存了远程系统可能存在的各类隐患和漏洞信息,通过获取远程系统的特征与数据库中的数据进行匹配以获得目标系统可能存在的漏洞;
所述漏洞扫描插件为漏洞扫描插件模块,通过采用Python动态加载函数的技术,为漏洞扫描模块通过插件形式提供不同类型的漏洞扫描工具集成;
所述漏洞库为漏洞扫描模块中的漏洞信息查询库,包括CVE、CNVD等公开漏洞库的信息,为扫描器提供漏洞信息;
所述漏洞利用库,保存了当前框架中支持的漏洞利用信息,用于匹配模块进行漏洞利用信息查询,同时存储了漏洞能够被用于获取信息、执行远程命令或者反弹shell的利用工具的集合,当匹配到相对应的漏洞的时候,能够尝试调用该漏洞利用库中的工具进行进一步的操作;
所述报表生成器为渗透测试结果报表生成工具,能够将多种不同的工具输出信息进行汇总,提高渗透测试信息的覆盖程度,按照指定的格式进行数据梳理和格式化,定制输出不同的格式。
3.如权利要求2所述的一种漏洞自动化利用系统,其特征在于,所述漏洞扫描插件,用于检测目标系统存在的漏洞,其包括用于检测某个文件中是否存在漏洞,用于检测某个目录中是否存在漏洞,用于检测某个参数中是否存在漏洞,在爬虫结束之后启动,直接使用爬虫的资源进行检测,用于检测比较常用的 Web 应用的漏洞。
4.如权利要求2所述的一种漏洞自动化利用系统,其特征在于,还包括:信息收集插件及接口、信息库、工具库;
所述信息收集插件及接口为信息收集模块的插件模块,能够通过标准化的接口与信息收集模块进行通信,以及采用插件的形式对信息收集工具进行扩展集成;
所述信息库能够对收集到的多方面信息进行汇总保存;
所述工具库为漏洞利用的工具库,其中包括各种漏洞利用工具,能够用于校验漏洞是否存在。
5.如权利要求2-4任一所述的一种漏洞自动化利用系统,其特征在于,还设有自主决策模块,该模块为渗透攻击决策模块,用于自动化的调度渗透攻击列表中的工具,以及分析返回结果确认是否进行下一次的漏洞利用行为;
该模块主要将渗透攻击列表的工具进行组织进行预定义,形成工具调用的工作流程模板,进行所有工具的调度,通过各个上一个工具反馈的不同信息在工作流程进行匹配下一步的操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911231867.7A CN111027074B (zh) | 2019-12-05 | 2019-12-05 | 一种漏洞自动化利用方法以及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911231867.7A CN111027074B (zh) | 2019-12-05 | 2019-12-05 | 一种漏洞自动化利用方法以及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111027074A true CN111027074A (zh) | 2020-04-17 |
CN111027074B CN111027074B (zh) | 2022-03-15 |
Family
ID=70204286
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911231867.7A Active CN111027074B (zh) | 2019-12-05 | 2019-12-05 | 一种漏洞自动化利用方法以及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111027074B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112398829A (zh) * | 2020-11-04 | 2021-02-23 | 国网辽宁省电力有限公司电力科学研究院 | 一种电力系统的网络攻击模拟方法及系统 |
CN112632559A (zh) * | 2020-12-24 | 2021-04-09 | 北京天融信网络安全技术有限公司 | 漏洞自动验证方法、装置、设备及存储介质 |
CN113515746A (zh) * | 2021-03-25 | 2021-10-19 | 北京达佳互联信息技术有限公司 | 安全漏洞检测方法、装置、电子设备、存储介质及产品 |
CN114039787A (zh) * | 2021-11-15 | 2022-02-11 | 厦门服云信息科技有限公司 | 一种linux系统中反弹shell检测方法、终端设备及存储介质 |
CN114553585A (zh) * | 2022-03-04 | 2022-05-27 | 北京网藤科技有限公司 | 一种基于工业网络的漏洞扫描系统及其控制方法 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030014669A1 (en) * | 2001-07-10 | 2003-01-16 | Caceres Maximiliano Gerardo | Automated computer system security compromise |
US20080256638A1 (en) * | 2007-04-12 | 2008-10-16 | Core Sdi, Inc. | System and method for providing network penetration testing |
CN102546639A (zh) * | 2012-01-12 | 2012-07-04 | 北京航空航天大学 | 一种面向网络的渗透测试方案自动生成方法 |
CN103532793A (zh) * | 2013-10-28 | 2014-01-22 | 中国航天科工集团第二研究院七〇六所 | 一种信息系统安全性自动化渗透测试方法 |
CN104200167A (zh) * | 2014-08-05 | 2014-12-10 | 杭州安恒信息技术有限公司 | 自动化渗透测试方法及系统 |
CN104468267A (zh) * | 2014-11-24 | 2015-03-25 | 国家电网公司 | 一种配电自动化系统信息安全渗透测试方法 |
CN104809404A (zh) * | 2015-04-17 | 2015-07-29 | 广东电网有限责任公司信息中心 | 一种信息安全攻防平台的数据层系统 |
CN105827642A (zh) * | 2016-05-16 | 2016-08-03 | 深圳市安络科技有限公司 | 一种自动化渗透测试方法及系统 |
CN107392033A (zh) * | 2017-08-30 | 2017-11-24 | 杭州安恒信息技术有限公司 | 一种安卓设备渗透测试系统及其自动化渗透测试方法 |
CN109861987A (zh) * | 2019-01-02 | 2019-06-07 | 广州大学 | 自动化渗透测试系统、方法及机器人 |
-
2019
- 2019-12-05 CN CN201911231867.7A patent/CN111027074B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030014669A1 (en) * | 2001-07-10 | 2003-01-16 | Caceres Maximiliano Gerardo | Automated computer system security compromise |
US20080256638A1 (en) * | 2007-04-12 | 2008-10-16 | Core Sdi, Inc. | System and method for providing network penetration testing |
CN102546639A (zh) * | 2012-01-12 | 2012-07-04 | 北京航空航天大学 | 一种面向网络的渗透测试方案自动生成方法 |
CN103532793A (zh) * | 2013-10-28 | 2014-01-22 | 中国航天科工集团第二研究院七〇六所 | 一种信息系统安全性自动化渗透测试方法 |
CN104200167A (zh) * | 2014-08-05 | 2014-12-10 | 杭州安恒信息技术有限公司 | 自动化渗透测试方法及系统 |
CN104468267A (zh) * | 2014-11-24 | 2015-03-25 | 国家电网公司 | 一种配电自动化系统信息安全渗透测试方法 |
CN104809404A (zh) * | 2015-04-17 | 2015-07-29 | 广东电网有限责任公司信息中心 | 一种信息安全攻防平台的数据层系统 |
CN105827642A (zh) * | 2016-05-16 | 2016-08-03 | 深圳市安络科技有限公司 | 一种自动化渗透测试方法及系统 |
CN107392033A (zh) * | 2017-08-30 | 2017-11-24 | 杭州安恒信息技术有限公司 | 一种安卓设备渗透测试系统及其自动化渗透测试方法 |
CN109861987A (zh) * | 2019-01-02 | 2019-06-07 | 广州大学 | 自动化渗透测试系统、方法及机器人 |
Non-Patent Citations (4)
Title |
---|
51TESTING软件测试网: "专为渗透测试人员设计的python工具大合集", 《HTTPS://ZHUANLAN.ZHIHU.COM/P/51463472》 * |
MATT BISHOP: "about Penetration testing", 《IEEE SECURITY AND PRIVACY》 * |
MONIKA PANGARIA: "Compromising windows 8 with metasploit’s exploit", 《 ADIOSR JOURNAL OF COMPUTER ENGINEERING (IOSRJCE)》 * |
邢斌: "一种自动化的渗透测试系统的设计与实现", 《计算机应用研究》 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112398829A (zh) * | 2020-11-04 | 2021-02-23 | 国网辽宁省电力有限公司电力科学研究院 | 一种电力系统的网络攻击模拟方法及系统 |
CN112632559A (zh) * | 2020-12-24 | 2021-04-09 | 北京天融信网络安全技术有限公司 | 漏洞自动验证方法、装置、设备及存储介质 |
CN113515746A (zh) * | 2021-03-25 | 2021-10-19 | 北京达佳互联信息技术有限公司 | 安全漏洞检测方法、装置、电子设备、存储介质及产品 |
CN113515746B (zh) * | 2021-03-25 | 2024-01-30 | 北京达佳互联信息技术有限公司 | 安全漏洞检测方法、装置、电子设备、存储介质及产品 |
CN114039787A (zh) * | 2021-11-15 | 2022-02-11 | 厦门服云信息科技有限公司 | 一种linux系统中反弹shell检测方法、终端设备及存储介质 |
CN114039787B (zh) * | 2021-11-15 | 2023-12-22 | 厦门服云信息科技有限公司 | 一种linux系统中反弹shell检测方法、终端设备及存储介质 |
CN114553585A (zh) * | 2022-03-04 | 2022-05-27 | 北京网藤科技有限公司 | 一种基于工业网络的漏洞扫描系统及其控制方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111027074B (zh) | 2022-03-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111027074B (zh) | 一种漏洞自动化利用方法以及系统 | |
CN101930400B (zh) | Sdk自动化测试系统及方法 | |
US9461871B2 (en) | Client suitability test apparatus and method for a substation automating system | |
CN112818351B (zh) | 一种面向工控系统的漏洞优先级分析方法、系统、设备及存储介质 | |
CN104424088A (zh) | 软件的测试方法及装置 | |
CN109190368B (zh) | 一种sql注入检测装置及sql注入检测方法 | |
CN111258290A (zh) | 整车控制器自动化测试方法及系统 | |
CN105022691A (zh) | 一种基于uml图的高度自动化软件测试方法 | |
CN111563041B (zh) | 一种测试用例按需精准执行方法 | |
CN111813655B (zh) | 一种埋点测试方法、装置、埋点管理系统和存储介质 | |
CN109409093B (zh) | 一种系统漏洞扫描调度方法 | |
CN112906011B (zh) | 漏洞发现方法、测试方法、安全测试方法及相关装置、平台 | |
CN110515827A (zh) | 自动化测试方法、装置、计算机设备及存储介质 | |
CN112579437B (zh) | 一种程序运行过程符合性验证方法 | |
CN111985789A (zh) | 一种车载终端信息安全威胁分析和风险评估系统及方法 | |
CN111176995B (zh) | 一种基于大数据测试用例的测试方法和测试系统 | |
CN111026660A (zh) | 一种基于专家系统知识库的渗透测试方法 | |
CN113220588A (zh) | 一种数据处理的自动化测试方法、装置、设备及存储介质 | |
CN111104390A (zh) | 一种多csv文件的合并和校验的方法及系统 | |
CN111562937A (zh) | 一种代码方法级缺陷预警方法 | |
CN103488712A (zh) | 一种自动化测试方法及系统 | |
WO2021254243A1 (zh) | 代码构建方法、装置、设备和存储介质 | |
WO2022205696A1 (zh) | 一种云计算大数据平台功能及接口的测试方法及系统 | |
CN113037526B (zh) | 一种安全检测方法、终端、系统及存储介质 | |
WO2015184750A1 (zh) | 网元设备数据维护的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |