CN114070768B - 渗透测试方法、装置、计算机设备和存储介质 - Google Patents
渗透测试方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN114070768B CN114070768B CN202111429423.1A CN202111429423A CN114070768B CN 114070768 B CN114070768 B CN 114070768B CN 202111429423 A CN202111429423 A CN 202111429423A CN 114070768 B CN114070768 B CN 114070768B
- Authority
- CN
- China
- Prior art keywords
- test
- network
- data
- tested
- target plug
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012360 testing method Methods 0.000 title claims abstract description 670
- 238000003860 storage Methods 0.000 title claims abstract description 16
- 230000035515 penetration Effects 0.000 title claims description 40
- 238000010998 test method Methods 0.000 title abstract description 22
- 238000000034 method Methods 0.000 claims abstract description 53
- 238000004590 computer program Methods 0.000 claims abstract description 22
- 230000004044 response Effects 0.000 claims description 16
- 230000003993 interaction Effects 0.000 claims description 13
- 230000008569 process Effects 0.000 abstract description 21
- 238000005516 engineering process Methods 0.000 abstract description 4
- 238000010276 construction Methods 0.000 abstract description 3
- 238000012545 processing Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000001514 detection method Methods 0.000 description 5
- 239000000284 extract Substances 0.000 description 5
- 238000004519 manufacturing process Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002688 persistence Effects 0.000 description 2
- 238000002360 preparation method Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005422 blasting Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/22—Indexing; Data structures therefor; Storage structures
- G06F16/2282—Tablespace storage structures; Management thereof
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
Landscapes
- Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种测试方法、装置、计算机设备、存储介质和计算机程序产品,涉及信息安全技术领域,可用于金融科技领域或其他相关领域。所述方法包括:根据待测试网络中的合法数据库的类型确定目标插件,将目标插件加载到待测试网络,根据测试人员的测试需求,将测试数据写入数据库中,通过调用目标插件,来对待测试网络进行测试得到测试结果。由于本发明所提供的测试方法是将待测试数据写入至待测试网络中的合法数据库中,并通过加载到所述待测试网络中的目标插件获取数据库中的测试数据,并对待测试网络进行测试的。因此,不会被安全设备拦截,搭建过程也较为简便,通过目标插件开启新的测试进程,保证测试的安全性以及测试结果回传的稳定性。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及一种渗透测试方法、装置、计算机设备和存储介质。
背景技术
随着全民特别是计算机从业人员的网络安全意识的提高。很多企业使用专门的DMZ(demilitarized zone,隔离区)主机或DMZ网络来对外提供Web(World Wide Web,全球广域网)服务、FTP(File Transfer Protocol,文件传输协议)服务、MySQL(StructuredQuery Language,结构化查询语言)服务等公共服务。同时和企业内部的网络进行逻辑隔离。此外,为了进一步的安全,很多DMZ区域的主机不允许向位于外部的主机建立通讯连接,也不允许外部主机连接除了Web服务、FTP服务、MySQL服务等预定开放端口之外的其他端口。位于外部的测试人员在进入DMZ区域后,无法对企业内部的网络进行测试。
相关技术中,位于外部的测试人员在对企业内部网络进行测试时,均需要在企业内部网络上传额外测试软件对企业内部网络进行测试,但是,上述测试软件经常被企业内部网络的防火墙设备拦截,导致无法对企业内部网络进行测试。
发明内容
基于此,有必要针对上述技术问题,提供一种能够对企业内部网络进行有效测试的渗透测试方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种渗透测试方法。所述方法包括:
将目标插件加载到待测试网络中的合法数据库,所述目标插件是根据所述合法数据库的类型确定的;
响应于测试指令,获取所述测试指令中的测试数据,并调用所述目标插件,根据所述测试数据进行测试,得到测试结果。
在其中一个实施例中,所述响应于第一测试指令,响应于测试指令,获取所述测试指令中的测试数据,并调用所述目标插件,根据所述测试数据进行测试,得到测试结果,包括:
响应于第一测试指令,获取所述第一测试指令中的测试数据,在所述合法数据库中创建数据表,将所述第一测试指令中测试数据写入所述数据表;
响应于针对所述目标插件的第二测试指令,调用所述目标插件,获得所述合法数据库中的数据表中的测试数据,并根据所述合法数据库中的数据表中的测试数据进行测试,得到测试结果。
在其中一个实施例中,所述响应于针对所述目标插件的第二测试指令,调用所述目标插件,获得所述合法数据库中的数据表中的测试数据,并根据所述合法数据库中的数据表中的测试数据进行测试,得到测试结果,包括:
响应于针对所述目标插件的第二测试指令,调用所述目标插件;
通过所述目标插件将所述数据表中的测试数据传输至所述待测试网络中的测试模块;
根据所述数据表中的测试数据,对所述测试模块进行测试,得到所述测试模块返回的测试结果。
在其中一个实施例中,所述响应于测试指令,获取所述测试指令中的测试数据,并调用所述目标插件,根据所述测试数据进行测试,得到测试结果,包括:
响应于第三测试指令,获取所述第三测试指令中的测试数据,将所述测试指令写入所述目标插件;
响应于针对所述目标插件的第四测试指令,调用所述目标插件,根据所述目标插件中的测试数据进行测试,得到测试结果。
在其中一个实施例中,所述测试数据包括测试命令信息以及所述测试命令信息对应的测试参数信息;
所述通过所述目标插件将所述数据表中的测试数据传输至所述待测试网络中的测试模块,包括:
通过所述目标插件,获取所述测试命令信息中的模块标识信息;
根据所述模块标识信息,确定所述待测试网络中的测试模块;
将所述数据表中的测试数据传输至所述待测试网络中的测试模块。
在其中一个实施例中,所述测试数据包括多组测试数据对,所述测试数据对包括所述测试命令信息以及所述测试命令信息对应的测试参数信息;
所述根据所述合法数据库中的测试数据进行测试,得到测试结果,包括:
根据预先配置的测试顺序,根据所述合法数据库中的各组所述测试数据对依次进行测试,得到各组所述测试数据对对应的测试结果。
在其中一个实施例中,该渗透测试方法还包括:
将所述测试结果写入至所述数据表,供发出所述第一测试指令以及第二测试指令的本地客户端读取。
在其中一个实施例中,所述将目标插件加载到待测试网络中的合法数据库,包括:
获取目标账户的账户信息,所述目标账户是待测试网络中的合法数据库的关联账户;
通过所述目标账户的账户信息,登录所述合法数据库;
在登录所述合法数据库后,通过调用预设插件配置语句,将所述目标插件加载到所述待测试网络的合法数据库。
第二方面,本申请还提供了一种渗透测试装置。所述装置包括:
插件加载模块,用于将目标插件加载到待测试网络中的合法数据库,所述目标插件是根据所述合法数据库的类型确定的;
测试模块,用于响应于测试指令,获取所述测试指令中的测试数据,并调用所述目标插件,根据所述测试数据进行测试,得到测试结果。
在其中一个实施例中,所述测试模块,具体用于:响应于第一测试指令,获取所述第一测试指令中的测试数据,在所述合法数据库中创建数据表,将所述第一测试指令中测试数据写入所述数据表;
响应于针对所述目标插件的第二测试指令,调用所述目标插件,获得所述合法数据库中的数据表中的测试数据,并根据所述合法数据库中的数据表中的测试数据进行测试,得到测试结果。
在其中一个实施例中,所述测试模块,具体用于响应于针对所述目标插件的第二测试指令,调用所述目标插件;通过所述目标插件将所述数据表中的测试数据传输至所述待测试网络中的测试模块;根据所述数据表中的测试数据,对所述测试模块进行测试,得到所述测试模块返回的测试结果。
在其中一个实施例中,所述测试模块,还具体用于响应于第三测试指令,获取所述第三测试指令中的测试数据,将所述测试指令写入所述目标插件;
响应于针对所述目标插件的第四测试指令,调用所述目标插件,根据所述目标插件中的测试数据进行测试,得到测试结果。
在其中一个实施例中,所述测试数据包括测试命令信息以及所述测试命令信息对应的测试参数信息;
所述测试模块,具体用于通过所述目标插件,获取所述测试命令信息中的模块标识信息;根据所述模块标识信息,确定所述待测试网络中的测试模块;将所述数据表中的测试数据传输至所述待测试网络中的测试模块。
在其中一个实施例中,所述测试数据包括多组测试数据对,所述测试数据对包括所述测试命令信息以及所述测试命令信息对应的测试参数信息;
所述测试模块,具体用于:根据预先配置的测试顺序,根据所述合法数据库中的各组所述测试数据对依次进行测试,得到各组所述测试数据对对应的测试结果。
在其中一个实施例中,该渗透测试装置还包括:
测试结果确定模块,用于将所述测试结果写入至所述数据表,供发出所述第一测试指令以及第二测试指令的本地客户端读取。
在其中一个实施例中,所述目标插件加载模块,具体用于获取目标账户的账户信息,所述目标账户是待测试网络中的合法数据库的关联账户;通过所述目标账户的账户信息,登录所述合法数据库;在登录所述合法数据库后,通过调用预设插件配置语句,将所述目标插件加载到所述待测试网络的合法数据库。
第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
将目标插件加载到待测试网络中的合法数据库,所述目标插件是根据所述合法数据库的类型确定的;
响应于测试指令,获取所述测试指令中的测试数据,并调用所述目标插件,根据所述测试数据进行测试,得到测试结果。
第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
将目标插件加载到待测试网络中的合法数据库,所述目标插件是根据所述合法数据库的类型确定的;
响应于测试指令,获取所述测试指令中的测试数据,并调用所述目标插件,根据所述测试数据进行测试,得到测试结果。
第五方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
将目标插件加载到待测试网络中的合法数据库,所述目标插件是根据所述合法数据库的类型确定的;
响应于测试指令,获取所述测试指令中的测试数据,并调用所述目标插件,根据所述测试数据进行测试,得到测试结果。
上述渗透测试方法、装置、计算机设备、存储介质和计算机程序产品,所述方法是根据待测试网络中的合法数据库的类型确定目标插件,并将目标插件加载到待测试网络,并根据测试人员的测试需求,将测试数据写入合法数据库中,通过调用目标插件,来获取测试数据,以及根据测试数据对待测试网络进行测试,得到测试结果。由于本发明所提供的渗透测试方法是根据测试需求将待测试数据写入至待测试网络中的合法数据库中,并通过加载到所述待测试网络中的目标插件获取数据库中的测试数据,并对待测试网络进行测试的。因此,可以解决测试指令无法进入测试网络内部导致的无法进行测试的问题,不会被安全设备拦截,搭建过程也较为简便,通过目标插件开启新的测试进程,保证测试的安全性以及测试结果回传的稳定性。
附图说明
图1为一个实施例中渗透测试方法的应用环境示意图;
图2为一个实施例中渗透测试方法的流程示意图;
图3为一个实施例中创建数据表步骤的流程示意图;
图4为一个实施例中将测试指令写入目标插件进行测试步骤的流程示意图;
图5为一个实施例中响应第二测试指令进行测试步骤的流程示意图;
图6为一个实施例中调用目标插件进行测试步骤的流程示意图;
图7为一个实施例中登录合法数据库步骤的流程示意图;
图8为一个实施例中外部用户对应的客户端与待测试网络中的MySQL定制插件的交互过程的示意图;
图9为一个实施例中渗透测试装置的结构框图;
图10为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
随着计算机从业人员的网络安全意识的提高,很多企业使用专门的DMZ主机或DMZ网络来对外提供Web服务、FTP服务、MySQL服务等公共服务,同时和内部网络进行逻辑隔离。此外,为了进一步的安全,很多DMZ区域的主机不允许向外网主机建立连接,也不允许外部主机连接除了Web服务、FTP服务、MySQL服务等允许开放端口之外的其他端口。企业渗透类型的测试人员在进入DMZ区域后,无法通过反弹连接、建立监听等常规方法进一步开展内网渗透评估工作。目前,业内的实现内网测试时,均需要向待测试的内部网络上传额外的测试软件,导致额外上传的测试软件容易被内部网络对应的服务器拦截,无法进行测试。
本申请实施例提供的渗透测试方法,可以应用于如图1所示的应用环境中。其中,内部核心网络通过DMZ网络与外部网络进行交互。内部网络与DMZ网络可以组合为待检测网络。内部核心网络可以包括内部办公网络以及内部生产网络。DMZ网络中包括DMZ主机、流量探测设备、势态感知设备、waf以及天眼等等,DMZ主机中包含MySQL数据库、web服务器以及MySQL定制插件,MySQL数据库是待检测网络中的合法数据库。外部网络中包括在外部访问内部网络时使用的客户端等等。
在一个实施例中,如图2所示,提供了一种渗透测试方法,本实施例以该方法应用于控制设备进行举例说明,可以理解的是,该方法也可以应用于服务器,还可以应用于包括控制设备和服务器的系统,并通过控制设备和服务器的交互实现,上述控制设备可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等,服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。本实施例中,该渗透测试方法包括以下步骤:
步骤202,将目标插件加载到待测试网络中的合法数据库,目标插件是根据合法数据库的类型确定的。
具体地,目标插件可以是服务端类型的MySQL插件,目标插件作为中介完成内部网络与外部网络的交互。控制设备根据预先配置的测试需求,进行编写得到目标插件。待测试网络是配置有DMZ区域的企业内部网络,例如可以是配置有防火墙系统的银行内部网络。控制设备根据待测试网络中的合法数据库的类型,确定与该合法数据库相匹配的插件类型。也就是说,控制设备进行编写后得到的目标插件的类型与待测试网络中的合法数据库的类型一致。例如,MySQL数据库对应的目标插件是MySQL插件。待测试网络中的合法数据库是在待测试网络中合法运行的数据库,即不会被待测试网络中的安全设备(例如防火墙)拦截或者是被限制使用权限的数据库。
可选地,控制设备可以是在接收到插件加载指令时,将编写后得到的目标插件加载到待测试网络中的合法数据库。控制设备也可以是在初次获取到待检测网络的地址时,根据该待检测网络的地址确定待检测网络中的合法数据库的类型,并将进行编写后得到的目标插件加载到待测试网络中的合法数据库。
步骤204,响应于测试指令,获取测试指令中的测试数据,并调用目标插件,根据测试数据进行测试,得到测试结果。
具体地,测试人员可以通过位于外部网络中的客户端(即外部设备)向控制设备发送测试指令,该测试指令用于指示控制设备进行测试前的数据获取准备,即指示控制设备获取测试数据。控制设备在接收到测试指令的情况下,会提取该测试指令对应的测试数据,并调用已经写入该合法数据库中的目标插件。通过该目标插件以及该测试数据进行测试,并得到测试结果。
可选地,控制设备在获取到测试指令中的测试数据,可以将该测试数据写入合法数据库中,具体的过程可以是:测试人员可以通过位于外部网络中的客户端(即外部设备)向控制设备发送测试指令,该测试指令用于指示控制设备进行测试前的数据获取准备,即指示控制设备获取测试数据。控制设备在接收到测试指令的情况下,会提取测试指令中所携带的测试数据,并将获取到的测试数据写入待检测网络中的合法数据库。
该测试指令中还可以携带有外部测试人员输入至外部网络中的客户端中的配置参数,该配置参数是用于指示控制设备以及目标插件运行的参数。控制设备会将读取到的测试数据以及配置参数,一并写入至待检测网络中的合法数据库中。控制设备可以根据读取到的配置参数,对该测试数据进行加密,将加密后的测试数据写入待测试网络中的合法数据库。例如,配置参数可以包括控制设备读取测试数据的频率以及线程数量、执行测试命令的频率以及线程数量、是否对存储至数据库中的测试数据进行加密、如果对测试数据进行加密,则相应的加密指令以及解密密钥、目标插件的读取测试数据的频率以及线程数量等等。在控制设备读取到配置参数的情况下,可以根据该配置参数对控制设备本身的执行过程进行相应的调整。
可选地,在测试数据是高频测试数据的情况下,响应于测试指令,控制设备可以将该高频测试数据写入该目标插件中,控制设备响应于测试指令,控制设备调用该目标插件,并通过该目标插件中的高频测试数据,进行测试得到测试结果。为了使用待测试网络中复杂的网络环境,可以将该高频测试数据写入目标插件,高频测试数据例如可以是:对smb密码爆破模块进行测试的数据以及对永恒之蓝漏洞探测模块进行测试的数据。控制设备将高频测试数据写入目标插件,可以减少客户端与服务端之间的数据交互,提高数据交互效率。
具体地,该测试指令也是用于指示控制设备进行测试的指令。控制设备进行测试是通过调用合法数据库中的目标插件来实现的,也就是通过目标插件的执行来实现的。当控制设备接收到外部设备发送的针对于目标插件的测试指令时,会根据测试指令,调用待检测网络中的合法数据库中所挂载的目标插件。目标插件被调用(执行)的过程,即为目标插件读取测试数据以及根据该测试数据对待测试网络中的各个测试模块进行测试的过程。
可选地,目标插件对各个测试模型进行测试的过程可以是:目标插件可以向待测试网络中的各个测试模块,发送测试操作执行请求以及测试操作执行参数。测试模块在预设时间段内或者是在测试操作执行完成后,会向目标插件返回测试操作执行结果(测试结果)。目标插件可以通过对该测试操作执行结果进行解析,得到测试结果。该测试结果可以是表示测试成功的信息或者是表示测试失败的信息。如果目标插件在预设时间段内没有接收到测试模块返回的测试结果,也可以认为该测试模块测试失败。
可选地,测试模块在接收到业务执行请求以及业务执行参数后,会根据接收到的业务执行请求以及业务执行参数,执行相应的业务操作,并向目标插件返回操作执行结果。
上述渗透测试方法中,根据待测试网络中的合法数据库的类型确定目标插件,并将目标插件加载到待测试网络,并根据测试人员的测试需求,将测试数据提前写入数据库中,通过调用目标插件,来获取测试数据,以及根据测试数据对待测试网络进行测试,得到测试结果。由于本发明所提供的渗透测试方法是将待测试数据写入至待测试网络中的合法数据库中,并通过加载到待测试网络中的目标插件获取数据库中的测试数据,并对待测试网络进行测试的。因此,可以解决测试指令无法进入测试网络内部导致的无法进行测试的问题,不会被安全设备拦截,搭建过程也较为简便,通过目标插件开启新的测试进程,保证测试的安全性以及测试结果回传的稳定性。
在一个实施例中,如图3所示,步骤204“响应于测试指令,获取测试指令中的测试数据,并调用目标插件,根据测试数据进行测试,得到测试结果”的具体处理过程,包括:
步骤302,响应于第一测试指令,获取第一测试指令中的测试数据,在合法数据库中创建数据表,将第一测试指令中测试数据写入数据表。
具体地,第一测试指令可以是位于外部网络的外部测试人员通过客户端与待检测网络首次连接时发出的。控制设备在接收到第一测试指令的情况下,会在该待测试网络中的存储设备(例如合法数据库)中,创建空白的数据表。这样,控制设备可以提取第一测试指令中所携带的测试数据,将该测试数据写入上述空白的数据表。控制设备通过预设代码调用数据表创建sql语句,实现在合法数据库内创建待存储数据的数据表。
可选地,客户端在与待测试网络中的MySQL数据库首次进行连接后,控制设备会在MySQL数据库创建特定数据表,并在该特定数据表中写入客户端用户(企业渗透测试人员)输入的配置参数,该配置参数可以用于指示MySQL插件(服务端)与待检测网络的交互,以及指示控制设备通过配置参数向MySQL数据库中的特定数据表中写入测试数据。控制设备可以对测试数据进行加密计算,并将得到的加密测试数据以及解密密钥一并写入上述特定数据表中。
步骤304,响应于针对目标插件的第二测试指令,调用目标插件,获得合法数据库中的数据表中的测试数据,并根据合法数据库中的数据表中的测试数据进行测试,得到测试结果。
具体地,企业渗透测试人员通过外部网络中的客户端向控制设备发送针对该目标插件的第二测试指令,该第二测试指令指示控制设备通过调用目标插件进行测试。在控制设备接收到上述第二测试指令后,会调用合法数据库中的目标插件。这样,目标插件可以读取该合法数据库中的特定数据表中的测试数据。目标插件被调用(执行)的过程,也为目标插件读取测试数据以及根据该测试数据对待测试网络中的各个测试模块进行测试,得到测试结果的过程。
可选地,该特定数据表中存储的测试数据可以是加密数据。这样,目标插件可以读取该合法数据库中的特定数据表中的解密密钥以及加密测试数据,根据该解密密钥对加密测试数据进行解密,得到解密后的测试数据。
本实施例中,通过合法的SQL语句将测试人员配置的测试数据写入合法数据库中,可以避免隔离区网络中的安全设备的拦截,保证客户端与数据库之间进行数据传输的稳定性。
在一个实施例中,如图4所示,步骤204“响应于测试指令,获取测试指令中的测试数据,并调用目标插件,根据测试数据进行测试,得到测试结果”的具体处理过程,包括:
步骤402,响应于第三测试指令,获取第三测试指令中的测试数据,将测试指令写入目标插件。
具体地,具体地,第三测试指令可以是位于外部网络的外部测试人员通过客户端与待检测网络首次连接时发出的。控制设备在接收到第三测试指令的情况下,控制设备可以提取第三测试指令中所携带的测试数据,在确定第三测试指令中所携带的测试数据是高频测试数据的情况下,控制设备会将将该测试数据写入上述该合法数据库中所挂载的目标插件。控制设备通过预设代码调用插件内置数据的sql语句,实现在合法数据库中的目标插件内写入高频测试数据。
可选地,控制设备将该测试数据写入合法数据库中的特定数据表,还是写入合法数据库所挂载的目标插件,可以根据测试数据的使用频率以及测试环境具体确定。
步骤404,响应于针对目标插件的第四测试指令,调用目标插件,根据目标插件中的测试数据进行测试,得到测试结果。
具体地,企业渗透测试人员通过外部网络中的客户端向控制设备发送针对该目标插件的第四测试指令,该第四测试指令指示控制设备通过调用目标插件进行测试。在控制设备接收到上述第四测试指令后,会调用合法数据库中的目标插件。这样,目标插件可以读取该目标插件内置的测试数据。目标插件被调用(执行)的过程,也为目标插件读取测试数据以及根据该测试数据对待测试网络中的各个测试模块进行测试,得到测试结果的过程。
可选地,该目标插件中内置的数据可以是加密数据。这样,目标插件可以读取该合法数据库中的存储的解密密钥以及加密测试数据,根据该解密密钥对加密测试数据进行解密,得到解密后的测试数据。
在一个实施例中,如图5所示,步骤206“响应于针对目标插件的第二测试指令,调用目标插件,获得合法数据库中的测试数据,并根据合法数据库中的测试数据进行测试,得到测试结果”的具体处理过程,包括:
步骤502,响应于针对目标插件的第二测试指令,调用目标插件。
具体地,企业渗透测试人员通过外部网络中的客户端向控制设备发送针对该目标插件的第二测试指令,该第二测试指令指示控制设备通过调用目标插件进行测试。在控制设备接收到上述第二测试指令后,会调用合法数据库中的目标插件。目标插件可以是MySQL插件。
步骤504,通过目标插件将数据表中的测试数据传输至待测试网络中的测试模块。
具体地,待测试网络中的测试模块是数据表中的测试数据在待测试网络中的对应的业务模块。控制设备通过调用目标插件,可以通过目标插件获取数据表中的测试数据,并通过该目标插件,将测试数据传输至待测试网络中与该测试数据对应的测试模块。
例如,如果需要探测web界面是否存在,那么与之对应的业务模块为HTTP模块;如果是对数据库的账号密码进行爆破,则对应的业务模块是TCP相关模块。
步骤506,根据数据表中的测试数据,对测试模块进行测试,得到测试模块返回的测试结果。
具体地,目标插件根据数据表中的测试数据对测试模块进行测试。对测试模块进行测试的过程是,根据测试数据运行相应的测试模块,执行测试数据中所携带的业务操作指令。在测试模块运行完毕之后,该测试模块会向目标插件返回测试结果。控制设备可以获取到目标插件接收到的该测试模块的测试结果。
本实施例中,通过待测试网络中的目标插件以及数据表中的合法的测试数据,对待检测网络进行测试,可以通过数据库本身的插件功能,以更高的权限执行测试命令,扩大待检测的网络的测试范围。
在一个实施例中,测试数据包括测试命令信息以及测试命令信息对应的测试参数信息。
具体地,测试命令信息可以是用于指示测试模块进行测试操作的信息,即业务操作指令;测试参数信息可以是该测试模块在执行测试操作时所涉及到的参数信息,即业务参数信息。例如测试命令信息可以是用户登录,那么该测试命令信息对应的测试参数信息可以是用户进行登录所需要的参数信息,如账号名称信息以及账号密码信息。
相应地,如图6所示,步骤504“通过目标插件将数据表中的测试数据传输至待测试网络中的测试模块”的具体处理过程,包括:
步骤602,通过目标插件,获取测试命令信息中的模块标识信息。
具体地,模块标识信息是在待测试网络中标识不同的测试模块的信息,不同的测试模块均具备不同的模块标识信息。在控制设备调用目标插件获取测试数据时,目标插件会提取该测试数据中的测试命令信息,并对该测试命令信息进行解析,确定模块标识信息。
步骤604,根据模块标识信息,确定待测试网络中的测试模块。
具体地,控制设备可以通过目标插件对测试命令信息的解析得到的模块标识信息,以及预先配置的模块标识信息与测试模块的对应关系,确定与该模块标识信息相匹配的测试模块。
步骤606,将数据表中的测试数据传输至待测试网络中的测试模块。
具体地,控制设备可以通过目标插件,将合法数据库中的数据表中的测试数据,传输到通过上述步骤确定的测试模块中。控制设备可以通过目标插件,运行该测试数据对应的测试模块。运行过程可以是测试模块根据测试参数信息,执行相应的测试命令。
可选地,控制设备还可以通过实际测试场景中的测试数据,动态确定该测试数据对应的测试模块。
在一个实施例中,测试数据包括多组测试数据对,测试数据对包括测试命令信息以及测试命令信息对应的测试参数信息。
相应地,步骤“根据合法数据库中的测试数据进行测试,得到测试结果”的具体处理过程,包括:根据预先配置的测试顺序,根据合法数据库中的各组测试数据对依次进行测试,得到各组测试数据对对应的测试结果。
具体地,控制设备根据预先配置的测试顺序,通过调用目标插件,依次根据该合法数据库中的各组测试数据进行测试,得到各组测试数据对对应的测试结果。测试命令信息可以是用于指示测试模块进行测试操作的信息,即业务操作指令;测试参数信息可以是该测试模块在执行测试操作时所涉及到的参数信息,即业务参数信息。控制设备根据预先配置的测试顺序,依次根据各组测试数据对,对测试模块进行测试。
在一个实施例中,该渗透测试方法还包括:
将测试结果写入至数据表,供发出第一测试指令以及第二测试指令的本地客户端读取。
具体地,测试模块在进行测试后,会得到测试结果。测试模块会将该测试结果返回至目标插件。控制设备可以获取到该目标插件中的测试结果,并将该测试结果写入至合法数据库中的数据表中,供用户通过位于外部网络中的客户端读取该测试结果。
本实施例中,通过将运行期间产生的所有数据写入数据库,从而保证数据的持久化和系统的稳定性、安全性、隐蔽性。
在一个实施例中,如图7所示,步骤“将目标插件加载到待测试网络中的合法数据库”的具体处理过程,包括:
步骤802,获取目标账户的账户信息,目标账户是待测试网络中的合法数据库的关联账户。
步骤804,通过目标账户的账户信息,登录合法数据库。
具体地,目标账户可以是在合法数据库中已经注册过的账户,例如可以是root账户。目标账户还可以是具备数据写入权限、数据读取权限以及数据修改权限的账户。目标账户的账户信息可以包括账号信息(账户名称信息)以及账户登录密码信息。控制设备获取到目标账户的账号信息以及账户登录密码信息后,可以通过该账号信息以及账户登录密码信息,登录待测试网络中的合法数据库。
步骤806,在登录合法数据库后,通过调用预设插件配置语句,将目标插件加载到待测试网络的合法数据库。
具体地,控制设备在通过目标账户的账户信息登录合法数据库后,可以调用预设的插件配置语句(如sql语句),将目标插件加载到待测试网络中的合法数据库上。
以下,结合一个具体实施例详细描述本发明提供的渗透测试方法的执行过程:控制设备需要获取待测试网络中的合法数据库(MySQL数据库)中的目标账户(root账户)的账户信息,该目标账户需要具备向待测试网络中的存储设备(即数据库)写入数据的权限以及调用目标插件的权限。控制设备通过调用预设插件配置的sql语句,将特殊编写的MySQL插件(服务端)加载到待检测网络;最后通过特殊编写的客户端和MySQL数据库进行交互,从而实现对待测试网络的测试,即实现对待测试网络的内部网络的流量代理。
以下,结合一示意图,对本发明实施例提供的渗透测试方法进行详细说明。
如图1所示,是本发明所提供的渗透测试方法所应用的系统示意图。
其中,内部核心网络与DMZ网络组成的网络即为待测试网络。①表示位于外部网络的外部访问客户端可以通过Waf、天眼等安全设备与DMZ网络中的web服务器进行正常交互;②表示DMZ网络中的Web服务器与同在DMZ网络的MySQL数据库进行正常交互;③表示MySQL数据库与MySQL定制插件(服务端)进行正常交互;④和⑤表示通过位于外部网络的外部访问客户端进行访问的用户的交互数据和Web服务器的输出都会经过Waf、天眼、流量探测设备、态势感知设备等安全设备的检测和过滤(正是因为上述安全设备的存在,使得常规的代理工具就很难实现对内部网络的测试);⑥表示外部用户可以远程对MySQL数据库进行管理;⑦表示DMZ主机可以与内部办公网络进行交互,⑧表示DMZ主机可以与内部生产网络进行交互,⑨表示内部办公网络可以与内部生产网络进行交互,且外部用户无法访问内部网络。⑩表示外部用户(企业渗透测试人员)在进入DMZ网络区域之后,通过在目标待测试网络上加载特定服务端插件,本地使用特制的客户端连接数据库,从而实现内网流量代理功能的数据的简化流向
如图8所示,详细描述外部用户对应的客户端与待测试网络中的MySQL定制插件的交互过程。
①表示客户端在与待测试网络中的MySQL数据库首次进行连接后,控制设备会在MySQL数据库创建特定数据表,并在该特定数据表中写入客户端用户(企业渗透测试人员)输入的配置参数,该配置参数可以用于指示MySQL插件(服务端)与待检测网络的交互,以及指示控制设备通过配置参数向MySQL数据库中的特定数据表中写入测试数据。控制设备可以对测试数据进行加密计算,并将得到的加密测试数据以及解密密钥一并写入上述特定数据表中。②表示MySQL定制插件可以读取特定数据表中的数据,首次读取后会根据其中的配置参数调整插件在运行时配置,并可以根据配置访问特定数据表取出其中的测试数据,并根据获取到的测试命令信息以及测试参数信息(解密后)运行不同的测试模块,执行相应的命令;③表示服务端执行完成后将运行结果加密之后存储到特定数据表中,以便客户端的读取;④表示客户端在写入新的命令或者按照配置读取特定数据表,获取之前写入的命令的结果并解密之后展示给用户(企业渗透测试人员)。
如下表1所示,本系统服务端(目标插件)和客户端交互规则的定义示意图。
本发明设计为通过将运行期间产生的所有数据写入数据库从而保证数据的持久化和系统的稳定性、安全性、隐蔽性。特定数据表中每一行均遵循该规则,其中第一列为唯一标识符,用于服务端写入执行结果和客户端读取结果时进行匹配,保证结果和命令是唯一对应的;第二列表示的内容是后面内容的类型,包括配置参数以及测试数据等等。也就是指明当前行后面的数据类型,以便服务端识别和客户端指定为命令或配置参数;第三列是执行结果,用于存储服务端对获取到的命令或配置参数的执行结果;第四列是服务器端是否已读取的标识,用于标识服务端是否已经读取此条记录,防止服务端避免重复执行命令,和客户端读取时更新状态;第五列为保留字段,为以后添加新的功能保留;第六列是具体值,是根据第二列的数据而存储不同的值,如果第二列指明为配置参数,则为a=1&b=2形式字符串的加密字符串;如果第二列指明为命令参数,则为具体的命令类型的加密字符串;第七列及之后的列同样根据第二列的数据而存储不同的值,如果第二列指明为配置参数,则第七列的数据为NULL;如果第二列指明为命令参数,则第七列及之后的列为命令对应的参数的加密字符列表,每一列为一个参数的加密字符,根据不同命令,可能有个数不等的参数,参数结束的最后一列为NULL,表示参数列表结束。
表1
此外,本工具主要是为对配置有隔离区网络的企业内部网络进行测试而设计。也就是为了代理内网流量而设计。因此,需要编写特制的服务端(MySQL插件)和客户端。其中服务端包括运行时配置、内网扫描、主机探测、端口扫描、Banner探测等功能,同时提供加解密、编码、格式处理等辅助模块。而客户端则相应地提供与服务端功能的对接实现,同时额外提供GUI绘制、SQL语句自动转化生成等一系列配套功能,是一套完整的用于渗透测试的内网流量代理工具套件。
应该理解的是,虽然如上的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的渗透测试方法的渗透测试装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个渗透测试装置实施例中的具体限定可以参见上文中对于渗透测试方法的限定,在此不再赘述。
在一个实施例中,如图9所示,提供了一种渗透测试装置700,包括:插件加载模块701、测试模块702,其中:
插件加载模块701,用于将目标插件加载到待测试网络中的合法数据库,目标插件是根据合法数据库的类型确定的。
测试模块702,用于响应于测试指令,获取测试指令中的测试数据,并调用目标插件,根据测试数据进行测试,得到测试结果。
在其中一个实施例中,测试模块,具体用于:响应于第一测试指令,获取第一测试指令中的测试数据,在合法数据库中创建数据表,将第一测试指令中测试数据写入数据表;
响应于针对目标插件的第二测试指令,调用目标插件,获得合法数据库中的数据表中的测试数据,并根据合法数据库中的数据表中的测试数据进行测试,得到测试结果。
在其中一个实施例中,测试模块,具体用于响应于针对目标插件的第二测试指令,调用目标插件;通过目标插件将数据表中的测试数据传输至待测试网络中的测试模块;根据数据表中的测试数据,对测试模块进行测试,得到测试模块返回的测试结果。
在其中一个实施例中,测试模块,还具体用于响应于第三测试指令,获取第三测试指令中的测试数据,将测试指令写入目标插件;
响应于针对目标插件的第四测试指令,调用目标插件,根据目标插件中的测试数据进行测试,得到测试结果。
在其中一个实施例中,测试数据包括测试命令信息以及测试命令信息对应的测试参数信息;
测试模块,具体用于通过目标插件,获取测试命令信息中的模块标识信息;根据模块标识信息,确定待测试网络中的测试模块;将数据表中的测试数据传输至待测试网络中的测试模块。
在其中一个实施例中,测试数据包括多组测试数据对,测试数据对包括测试命令信息以及测试命令信息对应的测试参数信息;
测试模块,具体用于:根据预先配置的测试顺序,根据合法数据库中的各组测试数据对依次进行测试,得到各组测试数据对对应的测试结果。
在其中一个实施例中,该渗透测试装置还包括:
测试结果确定模块,用于将测试结果写入至数据表,供发出第一测试指令以及第二测试指令的本地客户端读取。
在其中一个实施例中,目标插件加载模块,具体用于获取目标账户的账户信息,目标账户是待测试网络中的合法数据库的关联账户;通过目标账户的账户信息,登录合法数据库;在登录合法数据库后,通过调用预设插件配置语句,将目标插件加载到待测试网络的合法数据库。
上述渗透测试装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图10所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储测试相关数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种渗透测试方法。
本领域技术人员可以理解,图10中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
需要说明的是,本公开实施例所述的方法和装置可用于信息安全技术领域,可用于金融科技领域或其他相关领域,本公开实施例所述的方法和装置对所应用领域不做限定。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成的,计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (10)
1.一种渗透测试方法,其特征在于,所述方法包括:
将目标插件加载到待测试网络中的合法数据库,所述目标插件是根据所述合法数据库的类型确定的,所述待测试网络包括DMZ网络以及内部核心网络,所述合法数据库位于所述DMZ网络,所述目标插件作为中介完成内部网络与外部网络的交互,所述待测试网络无法直接与外部设备通信,通过所述合法数据库与外部设备通信;
响应于测试指令,获取所述测试指令中的测试数据,并调用所述目标插件,根据所述测试数据对所述内部核心网络的各个测试模块进行测试,得到测试结果,所述测试模块包括http模块以及tcp模块;
所述响应于测试指令,获取所述测试指令中的测试数据,并调用所述目标插件,根据所述测试数据对所述内部核心网络的各个测试模块进行测试,得到测试结果,包括:响应于第一测试指令,获取所述第一测试指令中的测试数据,在所述合法数据库中创建数据表,将所述第一测试指令中测试数据写入所述数据表;响应于针对所述目标插件的第二测试指令,调用所述目标插件,获得所述合法数据库中的数据表中的测试数据,并根据所述合法数据库中的数据表中的测试数据进行测试,得到测试结果。
2.根据权利要求1所述的方法,其特征在于,所述响应于针对所述目标插件的第二测试指令,调用所述目标插件,获得所述合法数据库中的数据表中的测试数据,并根据所述合法数据库中的数据表中的测试数据进行测试,得到测试结果,包括:
响应于针对所述目标插件的第二测试指令,调用所述目标插件;
通过所述目标插件将所述数据表中的测试数据传输至所述待测试网络中的测试模块;
根据所述数据表中的测试数据,对所述测试模块进行测试,得到所述测试模块返回的测试结果。
3.根据权利要求1所述的方法,其特征在于,所述响应于测试指令,获取所述测试指令中的测试数据,并调用所述目标插件,根据所述测试数据进行测试,得到测试结果,包括:
响应于第三测试指令,获取所述第三测试指令中的测试数据,将所述测试指令写入所述目标插件
响应于针对所述目标插件的第四测试指令,调用所述目标插件,根据所述目标插件中的测试数据进行测试,得到测试结果。
4.根据权利要求2所述的方法,其特征在于,所述测试数据包括测试命令信息以及所述测试命令信息对应的测试参数信息;
所述通过所述目标插件将所述数据表中的测试数据传输至所述待测试网络中的测试模块,包括:
通过所述目标插件,获取所述测试命令信息中的模块标识信息;
根据所述模块标识信息,确定所述待测试网络中的测试模块;
将所述数据表中的测试数据传输至所述待测试网络中的测试模块。
5.根据权利要求1所述的方法,其特征在于,所述测试数据包括多组测试数据对,所述测试数据对包括所述测试命令信息以及所述测试命令信息对应的测试参数信息;
所述根据所述合法数据库中的测试数据进行测试,得到测试结果,包括:
根据预先配置的测试顺序,根据所述合法数据库中的各组所述测试数据对依次进行测试,得到各组所述测试数据对对应的测试结果。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述方法还包括:
将所述测试结果写入至所述数据表,供发出所述第一测试指令以及第二测试指令的本地客户端读取。
7.根据权利要求1-5任一项所述的方法,其特征在于,所述将目标插件加载到待测试网络中的合法数据库,包括:
获取目标账户的账户信息,所述目标账户是待测试网络中的合法数据库的关联账户;
通过所述目标账户的账户信息,登录所述合法数据库;
在登录所述合法数据库后,通过调用预设插件配置语句,将所述目标插件加载到所述待测试网络的合法数据库。
8.一种渗透测试装置,其特征在于,所述装置包括:
插件加载模块,用于将目标插件加载到待测试网络中的合法数据库,所述目标插件是根据所述合法数据库的类型确定的,所述待测试网络包括DMZ网络以及内部核心网络,所述合法数据库位于所述DMZ网络,所述目标插件作为中介完成内部网络与外部网络的交互,所述待测试网络无法直接与外部设备通信,通过所述合法数据库与外部设备通信;
测试模块,用于响应于测试指令,获取所述测试指令中的测试数据,并调用所述目标插件,根据所述测试数据对所述内部核心网络的各个测试模块进行测试,得到测试结果,所述测试模块包括http模块以及tcp模块;
所述测试模块具体用于响应于第一测试指令,获取所述第一测试指令中的测试数据,在所述合法数据库中创建数据表,将所述第一测试指令中测试数据写入所述数据表;响应于针对所述目标插件的第二测试指令,调用所述目标插件,获得所述合法数据库中的数据表中的测试数据,并根据所述合法数据库中的数据表中的测试数据进行测试,得到测试结果。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111429423.1A CN114070768B (zh) | 2021-11-29 | 2021-11-29 | 渗透测试方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111429423.1A CN114070768B (zh) | 2021-11-29 | 2021-11-29 | 渗透测试方法、装置、计算机设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114070768A CN114070768A (zh) | 2022-02-18 |
CN114070768B true CN114070768B (zh) | 2023-11-03 |
Family
ID=80276931
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111429423.1A Active CN114070768B (zh) | 2021-11-29 | 2021-11-29 | 渗透测试方法、装置、计算机设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114070768B (zh) |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1410915A (zh) * | 2002-11-18 | 2003-04-16 | 北京慧讯信息技术有限公司 | 自主智能异构数据集成系统及方法 |
JP2011118492A (ja) * | 2009-12-01 | 2011-06-16 | Silicon Test Technologies Inc | テストフロー提示コンピュータプログラム、テストフロー提示コンピュータシステム |
US8271427B1 (en) * | 2010-01-13 | 2012-09-18 | Wisconsin Alumni Research Foundation | Computer database system for single molecule data management and analysis |
CN105550380A (zh) * | 2016-02-16 | 2016-05-04 | 国网浙江新昌县供电公司 | 高配用户用电数据采集接入系统及其工作方法 |
CN108737212A (zh) * | 2018-05-18 | 2018-11-02 | 中国人民解放军61062部队科技装备处 | 一种传输协议符合性检测装置、系统及方法 |
CN108920494A (zh) * | 2018-05-21 | 2018-11-30 | 深圳市彬讯科技有限公司 | 多租户数据库的隔离访问方法、服务端以及存储介质 |
CN109032945A (zh) * | 2018-07-27 | 2018-12-18 | 北京航空航天大学 | 一种软件可靠性工程集成环境框架设计方法 |
CN110147319A (zh) * | 2019-04-19 | 2019-08-20 | 平安普惠企业管理有限公司 | 数据库测试方法、装置及计算机设备 |
CN110209584A (zh) * | 2019-06-03 | 2019-09-06 | 广东电网有限责任公司 | 一种测试数据自动生成方法和相关装置 |
CN110347569A (zh) * | 2019-06-28 | 2019-10-18 | 浙江吉利控股集团有限公司 | 一种服务器性能数据采集方法及装置 |
CN111984719A (zh) * | 2020-08-31 | 2020-11-24 | 平安医疗健康管理股份有限公司 | 基于数据源的数据调取方法、装置、设备及存储介质 |
CN112835984A (zh) * | 2021-03-10 | 2021-05-25 | 北京车和家信息技术有限公司 | 告警处理方法和装置 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6678669B2 (en) * | 1996-02-09 | 2004-01-13 | Adeza Biomedical Corporation | Method for selecting medical and biochemical diagnostic tests using neural network-related applications |
US7761900B2 (en) * | 2006-08-02 | 2010-07-20 | Clarendon Foundation, Inc. | Distribution of content and advertisement |
US10713280B2 (en) * | 2010-12-23 | 2020-07-14 | Mongodb, Inc. | Systems and methods for managing distributed database deployments |
US20120330869A1 (en) * | 2011-06-25 | 2012-12-27 | Jayson Theordore Durham | Mental Model Elicitation Device (MMED) Methods and Apparatus |
US10445207B2 (en) * | 2017-07-31 | 2019-10-15 | Oracle International Corporation | System and method to execute and manage load tests using containers |
US10402301B2 (en) * | 2018-01-08 | 2019-09-03 | Microsoft Technology Licensing, Llc | Cloud validation as a service |
-
2021
- 2021-11-29 CN CN202111429423.1A patent/CN114070768B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1410915A (zh) * | 2002-11-18 | 2003-04-16 | 北京慧讯信息技术有限公司 | 自主智能异构数据集成系统及方法 |
JP2011118492A (ja) * | 2009-12-01 | 2011-06-16 | Silicon Test Technologies Inc | テストフロー提示コンピュータプログラム、テストフロー提示コンピュータシステム |
US8271427B1 (en) * | 2010-01-13 | 2012-09-18 | Wisconsin Alumni Research Foundation | Computer database system for single molecule data management and analysis |
CN105550380A (zh) * | 2016-02-16 | 2016-05-04 | 国网浙江新昌县供电公司 | 高配用户用电数据采集接入系统及其工作方法 |
CN108737212A (zh) * | 2018-05-18 | 2018-11-02 | 中国人民解放军61062部队科技装备处 | 一种传输协议符合性检测装置、系统及方法 |
CN108920494A (zh) * | 2018-05-21 | 2018-11-30 | 深圳市彬讯科技有限公司 | 多租户数据库的隔离访问方法、服务端以及存储介质 |
CN109032945A (zh) * | 2018-07-27 | 2018-12-18 | 北京航空航天大学 | 一种软件可靠性工程集成环境框架设计方法 |
CN110147319A (zh) * | 2019-04-19 | 2019-08-20 | 平安普惠企业管理有限公司 | 数据库测试方法、装置及计算机设备 |
CN110209584A (zh) * | 2019-06-03 | 2019-09-06 | 广东电网有限责任公司 | 一种测试数据自动生成方法和相关装置 |
CN110347569A (zh) * | 2019-06-28 | 2019-10-18 | 浙江吉利控股集团有限公司 | 一种服务器性能数据采集方法及装置 |
CN111984719A (zh) * | 2020-08-31 | 2020-11-24 | 平安医疗健康管理股份有限公司 | 基于数据源的数据调取方法、装置、设备及存储介质 |
CN112835984A (zh) * | 2021-03-10 | 2021-05-25 | 北京车和家信息技术有限公司 | 告警处理方法和装置 |
Non-Patent Citations (3)
Title |
---|
基于B/S架构的网络化可配置综合测试平台实现与应用;储婷婷;;计算机测量与控制(第07期);全文 * |
基于WEB Service虚拟数据中心的建立及安全性研究;陈建国;汪秋蒙;尚忝;;大众科技(第09期);全文 * |
网络数据库系统安全防护技术实现;和旭冉;;电子技术与软件工程(第02期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114070768A (zh) | 2022-02-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2015267387B2 (en) | Method and apparatus for automating the building of threat models for the public cloud | |
US8181221B2 (en) | Method and system for masking data | |
WO2019144549A1 (zh) | 漏洞测试方法、装置、计算机设备和存储介质 | |
US20220232025A1 (en) | Detecting anomalous behavior of a device | |
US20220232024A1 (en) | Detecting deviations from typical user behavior | |
KR101948721B1 (ko) | 파일 해시 값을 이용한 파일 위변조 검사 방법 및 단말 장치 | |
US8701180B2 (en) | Securing communications between different network zones | |
US20210281609A1 (en) | Rating organization cybersecurity using probe-based network reconnaissance techniques | |
CN113360475B (zh) | 基于内网终端的数据运维方法、装置、设备及存储介质 | |
CN109271807A (zh) | 数据库的数据安全处理方法及系统 | |
CN112000984A (zh) | 一种数据泄露检测方法、装置、设备及可读存储介质 | |
US10489584B2 (en) | Local and global evaluation of multi-database system | |
US11483342B2 (en) | Utilizing web application firewall and machine learning to detect command and control | |
CN114070768B (zh) | 渗透测试方法、装置、计算机设备和存储介质 | |
CN115658794B (zh) | 数据查询方法、装置、计算机设备和存储介质 | |
US10521328B1 (en) | Application data flow mapping | |
CN115827379A (zh) | 异常进程检测方法、装置、设备和介质 | |
CN114491555A (zh) | 设备安全检测方法、装置、计算机设备和存储介质 | |
CN114826727A (zh) | 流量数据采集方法、装置、计算机设备、存储介质 | |
CN116756784B (zh) | 一种系统校验方法、装置、电子设备及可读存储介质 | |
CN117411729B (zh) | oracle数据库登录方法、装置、计算机设备、介质 | |
CN114826726B (zh) | 网络资产脆弱性检测方法、装置、计算机设备和存储介质 | |
CN117370176A (zh) | 应用安全测试方法、装置、计算机设备和存储介质 | |
US20200065507A1 (en) | System and method for providing access to a user based on a multi-dimensional data structure | |
CN116909785A (zh) | 异常事件的处理方法、装置、设备、存储介质和程序产品 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |