CN116015881A - 渗透测试方法、装置、设备及存储介质 - Google Patents
渗透测试方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN116015881A CN116015881A CN202211687470.0A CN202211687470A CN116015881A CN 116015881 A CN116015881 A CN 116015881A CN 202211687470 A CN202211687470 A CN 202211687470A CN 116015881 A CN116015881 A CN 116015881A
- Authority
- CN
- China
- Prior art keywords
- penetration
- target
- attack
- node
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Investigation Of Foundation Soil And Reinforcement Of Foundation Soil By Compacting Or Drainage (AREA)
Abstract
本公开涉及一种渗透测试方法、装置、设备及存储介质。获取渗透目标对应的目标信息图谱;对目标信息图谱的各个节点进行攻击点分析,得到目标信息图谱的渗透攻击入口节点;基于渗透攻击入口节点对渗透目标进行渗透测试,得到渗透目标的渗透测试结果。由此,可以基于渗透目标对应的目标信息图谱,自动进行攻击点分析并基于渗透攻击入节点对渗透目标进行测试,从而实现自动化渗透测试,提高了渗透测试的工作效率、降低了技术人员的测试难度。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种渗透测试方法、装置、设备及存储介质。
背景技术
随着互联网技术的发展,网络的应用越来越广泛,网络安全越来越重要。目前,保障网络安全较好的方法是渗透测试。渗透测试是一项在计算机系统上进行的授权模拟攻击,旨在对其安全性进行评估。渗透测试使用与攻击者相同的工具、技术和流程,来查找和展示系统弱点对业务带来的影响。
相关技术中,一般采用手工渗透方式进行渗透测试,也就是依赖测试人员进行渗透测试。然而,手工渗透方法会消耗较大的人力资源,并且测试效率低下,导致无法满足用户的渗透测试需求。
发明内容
为了解决上述技术问题,本公开提供了一种渗透测试方法、装置、设备及存储介质。
第一方面,本公开提供了一种渗透测试方法,该方法包括:
获取渗透目标对应的目标信息图谱;
对所述目标信息图谱的各个节点进行攻击点分析,得到所述目标信息图谱的渗透攻击入口节点;
基于所述渗透攻击入口节点对所述渗透目标进行渗透测试,得到所述渗透目标的渗透测试结果。
在本公开一些实施例中,该方法还包括:
获取所述渗透目标的采集信息,其中,所述采集信息包含多个维度的属性信息;
以所述渗透目标及其对应的属性信息为节点,以所述渗透目标与所述属性信息之间的多个第一关联关系以及不同属性信息之间的多个第二关联关系为边,构成所述目标信息图谱。
在本公开一些实施例中,所述采集信息包括以下一种或者多种组合:暴露面信息、WEB信息、脆弱性信息、敏感信息、配置信息;
所述采集信息属于以下至少一个维度:主机类型、应用类型以及主机服务类型。
在本公开一些实施例中,所述对所述目标信息图谱的各个节点进行攻击点分析,得到所述目标信息图谱的渗透攻击入口节点,包括:
从所述目标信息图谱的各个节点中获取待分析节点;
利用所述待分析节点对应的攻击技术,对所述待分析节点进行攻击点分析,确定所述待分析节点是否存在攻击漏洞;
若所述待分析节点存在攻击漏洞,则将所述待分析节点作为所述目标信息图谱的渗透攻击入口节点。
在本公开一些实施例中,所述待分析节点包括:主机类型节点、基于安全通道协议的服务节点以基于WEB服务的文件上传节点中的至少一个。
在本公开一些实施例中,所述基于所述渗透攻击入口节点对所述渗透目标进行渗透测试,得到所述渗透目标的渗透测试结果,包括:
将所述渗透攻击入口节点作为渗透测试的测试入口,利用所述渗透攻击入口节点关联的攻击条件和攻击方式,对所述渗透目标进行渗透测试,得到所述渗透目标的渗透测试结果。
在本公开一些实施例中,该方法还包括:基于所述渗透目标的渗透测试结果,生成所述渗透测试报告并显示。
第二方面,本公开提供了一种渗透测试装置,该装置包括:
获取模块,用于获取渗透目标对应的目标信息图谱;
分析模块,用于对所述目标信息图谱的各个节点进行攻击点分析,得到所述目标信息图谱的渗透攻击入口节点;
渗透测试模块,用于基于所述渗透攻击入口节点对所述渗透目标进行渗透测试,得到所述渗透目标的渗透测试结果。
第三方面,本公开实施例还提供了一种电子设备,该设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现第一方面所提供的方法。
第四方面,本公开实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现第一方面所提供的方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:本公开实施例的一种渗透测试方法、装置、设备及存储介质,获取渗透目标对应的目标信息图谱;对目标信息图谱的各个节点进行攻击点分析,得到目标信息图谱的渗透攻击入口节点;基于渗透攻击入口节点对渗透目标进行渗透测试,得到渗透目标的渗透测试结果。由此,可以基于渗透目标对应的目标信息图谱,自动进行攻击点分析并基于渗透攻击入节点对渗透目标进行测试,从而实现自动化渗透测试,提高了渗透测试的工作效率、降低了技术人员的测试难度。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的一种渗透测试方法的流程示意图;
图2为本公开实施例提供的一种目标信息图谱的示意图;
图3为本公开实施例提供的一种渗透测试装置的结构示意图;
图4为本公开实施例提供的一种电子设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
为了实现自动化渗透测试,下面结合图1至图2对本公开实施例提供的渗透测试方法进行说明。在本公开实施例中,该渗透测试方法可以由电子设备执行。其中,电子设备可以包括平板电脑、台式计算机、笔记本电脑等具有通信功能的设备,也可以包括虚拟机或者模拟器模拟的设备。
图1示出了本公开实施例提供的一种渗透测试方法的流程示意图。
如图1所示,该渗透测试方法可以包括如下步骤。
S110、获取渗透目标对应的目标信息图谱。
在本实施例中,在对渗透目标进行自动化测试之前,构建渗透目标对应的知识图谱,作为目标信息图谱,使得进一步对目标信息图谱进行攻击点分析,以实现渗透测试。
其中,渗透目标是指被渗透的对象。可选地,渗透目标可以是网络中的主机,还可以是网站、应用程序、小程序等。
其中,目标信息图谱是指以二维的点与线形式的网状的信息图谱。
具体的,目标信息图谱的构建方法,具体包括:获取渗透目标的采集信息,其中,采集信息包含多个维度的属性信息;以渗透目标及其对应的属性信息为节点,以渗透目标与属性信息之间的多个第一关联关系以及不同属性信息之间的多个第二关联关系为边,构成目标信息图谱。
其中,采集信息可以通过主机识别、主机暴露面收集、WEB应用识别、WEB暴露面信息收集、社工信息收集、人工导入、人工添加等工具或者手段,对渗透网络进行信息收集,并基于预先定义好的至少一个维度对收集的信息进行分类确定。
可选地,采集信息属于以下至少一个维度:主机类型、应用类型以及主机服务类型。具体的,将采集信息与至少一个维度进行匹配,确定采集信息所属的类型。
其中,主机类型是指网络中主机的类型,例如windows类型、linux类型、unix类型,应用类型是指网络中的WEB应用类型,例如xxOAWEB系统类型、xxCrmWEB系统类型,主机服务类型是指主机上开放的服务类型,例如,ssh(Secure Shell,安全通道协议)服务类型、telnet(远程终端协议)服务类型、ftp(File Transfer Protocol,文件传输协议)服务类型等。
可选的,采集信息包括以下一种或者多种组合:暴露面信息、WEB信息、脆弱性信息、敏感信息、配置信息。
暴露面信息可以包括目标类型、目标版本号、开放端口、开放服务、开放目录。
WEB信息可以包括子域名、链接、表单、开发语言。
脆弱性可以包括主机漏洞、WEB漏洞、数据库漏洞、应用程序漏洞。
敏感信息包括用户名/密码、手机号、邮箱、组织架构、单位信息。
配置信息包括系统基础信息、ARP(Address Resolution Protocol,地址解析协议)表、防火墙配置、安全策略配置、数据库配置、程序启动配置、windowsAD域配置、进程列表、安全程序列表、补丁列表、注册表、登录凭证、文件目录等。
为了便于理解,图2示出了一种目标信息图谱的示意图。
如图2所示,目标信息图谱以渗透目标为中心,以渗透目标与属性信息之间的多个第一关联关系以及不同属性信息之间的多个第二关联关系为边构成。例如,属性信息包括端口、服务、负责人、账号/密码,端口的属性信息包括11、443、21,服务的属性信息包括RDP、SSH以及FIP,WEB的属性信息包括标题、版本、框架等,则渗透目标、端口、服务之间形成第一关联关系并连接,端口及其对应的属性信息(包括11、443、21)形成第二关联关系并连接,服务及其对应的属性信息(包括RDP、SSH以及FIP)形成第二关联关系并连接,WEB及其对应的属性信息(包括标题、版本、框架)形成第二关联关系并连接。
在其他情况下,目标信息图谱还可以由其他属性信息构建,这些信息图2中未示出,例如,渗透目标的属性信息还包括:邮箱、类型、版本,端口的属性信息还包括3389、22,WEB的属性信息还包括URL、组件,RDP的属性信息还包括版本,SSH的属性信息还包括版本,FIP的属性信息还包括版本,并通过这些信息构建目标信息图谱,使得目标信息图谱包含更多的信息。
S120、对目标信息图谱的各个节点进行攻击点分析,得到目标信息图谱的渗透攻击入口节点。
在本实施例中,可选地,S120具体包括:从目标信息图谱的各个节点中获取待分析节点;利用待分析节点对应的攻击技术,对待分析节点进行攻击点分析,确定待分析节点是否存在攻击漏洞;若待分析节点存在攻击漏洞,则将待分析节点作为目标信息图谱的渗透攻击入口节点。
其中,待分析节点包括主机类型节点、基于安全通道协议的服务节点以基于WEB服务的文件上传节点中的至少一个。也就是说,可以利用单一的攻击技术,对待分析节点进行攻击点分析,也可以利用多个攻击技术的组合,对待分析节点进行攻击点分析,以确定待分析节点是否存在攻击漏洞。
在一些实施例中,待分析节点是主机类型节点时,其对应的攻击技术可以包括Windows7SMB漏洞攻击EXP1技术、Windows7SMB漏洞攻击EXP2技术。
在另一些实施例中,待分析节点是基于安全通道协议的服务节点时,其对应的攻击技术可以包括SSH服务XX漏洞攻击EXP1技术、SSH服务XX漏洞攻击EXP2技术。
在又一些实施例中,待分析节点是基于WEB服务的文件上传节点时,其对应的攻击技术可以包括任务文件上传FUZZ工具技术。
其中,渗透入口攻击点可以是包括攻击点和薄弱点。攻击点是指渗透目标上可以成为渗透攻击入口的信息特征,可以包括类型、版本、错误配置以及漏洞特征。薄弱点是指渗透目标上可能的薄弱渗透攻击入口信息特征,可以包括WEB表单提交入口、文件上传/下载入口等。
S130、基于渗透攻击入口节点对渗透目标进行渗透测试,得到渗透目标的渗透测试结果。
在本实施例中,以单一渗透攻击入口节点或者多个渗透攻击入口节点的组合作为渗透测试的测试入口,对渗透目标进行单一渗透测试或者组合渗透测试,从而得到渗透测试结果。
在本公开实施例中,可选地,S130具体包括:将渗透攻击入口节点作为渗透测试的测试入口,利用渗透攻击入口节点关联的攻击条件和攻击方式,对渗透目标进行渗透测试,得到渗透目标的渗透测试结果。
具体的,可以将渗透攻击入口节点关联的攻击条件和攻击方式,转换为渗透攻击路径,并基于渗透攻击路径对渗透目标一键启动进行渗透测试,完成渗透测试过程。
本公开实施例的一种渗透测试方法,获取渗透目标对应的目标信息图谱;对目标信息图谱的各个节点进行攻击点分析,得到目标信息图谱的渗透攻击入口节点;基于渗透攻击入口节点对渗透目标进行渗透测试,得到渗透目标的渗透测试结果。由此,可以基于渗透目标对应的目标信息图谱,自动进行攻击点分析并基于渗透攻击入节点对渗透目标进行测试,从而实现自动化渗透测试,提高了渗透测试的工作效率、降低了技术人员的测试难度。
进一步的,在对渗透目标完成渗透测试之后,可以基于渗透目标的渗透测试结果,生成渗透测试报告并显示。
由此,可以基于自动化的渗透测试结果,生成渗透测试报告,并将渗透测试报告显示给用户,方便用户基于该报告掌握渗透测试过程。
图3示出了本公开实施例提供的一种渗透测试装置的结构示意图。
如图3所示,渗透测试装置300可以包括:
获取模块310,用于获取渗透目标对应的目标信息图谱;
分析模块320,用于对所述目标信息图谱的各个节点进行攻击点分析,得到所述目标信息图谱的渗透攻击入口节点;
渗透测试模块330,用于基于所述渗透攻击入口节点对所述渗透目标进行渗透测试,得到所述渗透目标的渗透测试结果。
本公开实施例的一种渗透测试装置,获取渗透目标对应的目标信息图谱;对目标信息图谱的各个节点进行攻击点分析,得到目标信息图谱的渗透攻击入口节点;基于渗透攻击入口节点对渗透目标进行渗透测试,得到渗透目标的渗透测试结果。由此,可以基于渗透目标对应的目标信息图谱,自动进行攻击点分析并基于渗透攻击入节点对渗透目标进行测试,从而实现自动化渗透测试,提高了渗透测试的工作效率、降低了技术人员的测试难度。
在本公开一些实施例中,该装置还包括:
采集信息获取模块,用于获取所述渗透目标的采集信息,其中,所述采集信息包含多个维度的属性信息;
图谱构建模块,用于以所述渗透目标及其对应的属性信息为节点,以所述渗透目标与所述属性信息之间的多个第一关联关系以及不同属性信息之间的多个第二关联关系为边,构成所述目标信息图谱。
在本公开一些实施例中,所述采集信息包括以下一种或者多种组合:暴露面信息、WEB信息、脆弱性信息、敏感信息、配置信息;
所述采集信息属于以下至少一个维度:主机类型、应用类型以及主机服务类型。
在本公开一些实施例中,分析模块320具体用于,从所述目标信息图谱的各个节点中获取待分析节点;
利用所述待分析节点对应的攻击技术,对所述待分析节点进行攻击点分析,确定所述待分析节点是否存在攻击漏洞;
若所述待分析节点存在攻击漏洞,则将所述待分析节点作为所述目标信息图谱的渗透攻击入口节点。
在本公开一些实施例中,所述待分析节点包括:主机类型节点、基于安全通道协议的服务节点以基于WEB服务的文件上传节点中的至少一个。
在本公开一些实施例中,渗透测试模块330具体用于,将所述渗透攻击入口节点作为渗透测试的测试入口,利用所述渗透攻击入口节点关联的攻击条件和攻击方式,对所述渗透目标进行渗透测试,得到所述渗透目标的渗透测试结果。
在本公开一些实施例中,该装置还包括:显示模块;
显示模块,用于基于所述渗透目标的渗透测试结果,生成所述渗透测试报告并显示。
需要说明的是,图3所示的渗透测试装置300可以执行图1至图2所示的方法实施例中的各个步骤,并且实现图1至图2所示的方法实施例中的各个过程和效果,在此不做赘述。
图4示出了本公开实施例提供的一种电子设备的结构示意图。
如图4所示,该电子设备可以包括处理器401以及存储有计算机程序指令的存储器402。
具体地,上述处理器401可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
存储器402可以包括用于信息或指令的大容量存储器。举例来说而非限制,存储器402可以包括硬盘驱动器(Hard Disk Drive,HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus,USB)驱动器或者两个及其以上这些的组合。在合适的情况下,存储器402可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器402可在综合网关设备的内部或外部。在特定实施例中,存储器402是非易失性固态存储器。在特定实施例中,存储器402包括只读存储器(Read-Only Memory,ROM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable ROM,PROM)、可擦除PROM(Electrical Programmable ROM,EPROM)、电可擦除PROM(Electrically ErasableProgrammable ROM,EEPROM)、电可改写ROM(Electrically Alterable ROM,EAROM)或闪存,或者两个或及其以上这些的组合。
处理器401通过读取并执行存储器402中存储的计算机程序指令,以执行本公开实施例所提供的渗透测试方法的步骤。
在一个示例中,该电子设备还可包括收发器403和总线404。其中,如图4所示,处理器401、存储器402和收发器403通过总线404连接并完成相互间的通信。
总线404包括硬件、软件或两者。举例来说而非限制,总线可包括加速图形端口(Accelerated Graphics Port,AGP)或其他图形总线、增强工业标准架构(ExtendedIndustry Standard Architecture,EISA)总线、前端总线(Front Side BUS,FSB)、超传输(Hyper Transport,HT)互连、工业标准架构(Industrial Standard Architecture,ISA)总线、无限带宽互连、低引脚数(Low Pin Count,LPC)总线、存储器总线、微信道架构(MicroChannel Architecture,MCA)总线、外围控件互连(Peripheral Component Interconnect,PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial Advanced TechnologyAttachment,SATA)总线、视频电子标准协会局部(Video Electronics StandardsAssociation Local Bus,VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线404可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
以下是本公开实施例提供的计算机可读存储介质的实施例,该计算机可读存储介质与上述各实施例的渗透测试方法属于同一个发明构思,在计算机可读存储介质的实施例中未详尽描述的细节内容,可以参考上述渗透测试方法的实施例。
本实施例提供一种包含计算机可执行指令的存储介质,计算机可执行指令在由计算机处理器执行时用于执行一种渗透测试方法,该方法包括:
获取渗透目标对应的目标信息图谱;
对所述目标信息图谱的各个节点进行攻击点分析,得到所述目标信息图谱的渗透攻击入口节点;
基于所述渗透攻击入口节点对所述渗透目标进行渗透测试,得到所述渗透目标的渗透测试结果。
在本公开一些实施例中,该方法还包括:
获取所述渗透目标的采集信息,其中,所述采集信息包含多个维度的属性信息;
以所述渗透目标及其对应的属性信息为节点,以所述渗透目标与所述属性信息之间的多个第一关联关系以及不同属性信息之间的多个第二关联关系为边,构成所述目标信息图谱。
在本公开一些实施例中,所述采集信息包括以下一种或者多种组合:暴露面信息、WEB信息、脆弱性信息、敏感信息、配置信息;
所述采集信息属于以下至少一个维度:主机类型、应用类型以及主机服务类型。
在本公开一些实施例中,所述对所述目标信息图谱的各个节点进行攻击点分析,得到所述目标信息图谱的渗透攻击入口节点,包括:
从所述目标信息图谱的各个节点中获取待分析节点;
利用所述待分析节点对应的攻击技术,对所述待分析节点进行攻击点分析,确定所述待分析节点是否存在攻击漏洞;
若所述待分析节点存在攻击漏洞,则将所述待分析节点作为所述目标信息图谱的渗透攻击入口节点。
在本公开一些实施例中,所述待分析节点包括:主机类型节点、基于安全通道协议的服务节点以基于WEB服务的文件上传节点中的至少一个。
在本公开一些实施例中,所述基于所述渗透攻击入口节点对所述渗透目标进行渗透测试,得到所述渗透目标的渗透测试结果,包括:
将所述渗透攻击入口节点作为渗透测试的测试入口,利用所述渗透攻击入口节点关联的攻击条件和攻击方式,对所述渗透目标进行渗透测试,得到所述渗透目标的渗透测试结果。
在本公开一些实施例中,该方法还包括:基于所述渗透目标的渗透测试结果,生成所述渗透测试报告并显示。
当然,本公开实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上的方法操作,还可以执行本公开任意实施例所提供的渗透测试方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本公开可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机云平台(可以是个人计算机,服务器,或者网络云平台等)执行本公开各个实施例所提供的渗透测试方法。
注意,上述仅为本公开的较佳实施例及所运用技术原理。本领域技术人员会理解,本公开不限于这里的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本公开的保护范围。因此,虽然通过以上实施例对本公开进行了较为详细的说明,但是本公开不仅仅限于以上实施例,在不脱离本公开构思的情况下,还可以包括更多其他等效实施例,而本公开的范围由所附的权利要求范围决定。
Claims (10)
1.一种渗透测试方法,其特征在于,包括:
获取渗透目标对应的目标信息图谱;
对所述目标信息图谱的各个节点进行攻击点分析,得到所述目标信息图谱的渗透攻击入口节点;
基于所述渗透攻击入口节点对所述渗透目标进行渗透测试,得到所述渗透目标的渗透测试结果。
2.根据权利要求1所述的方法,其特征在于,还包括:
获取所述渗透目标的采集信息,其中,所述采集信息包含多个维度的属性信息;
以所述渗透目标及其对应的属性信息为节点,以所述渗透目标与所述属性信息之间的多个第一关联关系以及不同属性信息之间的多个第二关联关系为边,构成所述目标信息图谱。
3.根据权利要求2所述的方法,其特征在于,
所述采集信息包括以下一种或者多种组合:暴露面信息、WEB信息、脆弱性信息、敏感信息、配置信息;
所述采集信息属于以下至少一个维度:主机类型、应用类型以及主机服务类型。
4.根据权利要求1所述的方法,其特征在于,所述对所述目标信息图谱的各个节点进行攻击点分析,得到所述目标信息图谱的渗透攻击入口节点,包括:
从所述目标信息图谱的各个节点中获取待分析节点;
利用所述待分析节点对应的攻击技术,对所述待分析节点进行攻击点分析,确定所述待分析节点是否存在攻击漏洞;
若所述待分析节点存在攻击漏洞,则将所述待分析节点作为所述目标信息图谱的渗透攻击入口节点。
5.根据权利要求4所述的方法,其特征在于,所述待分析节点包括:主机类型节点、基于安全通道协议的服务节点以基于WEB服务的文件上传节点中的至少一个。
6.根据权利要求1所述的方法,其特征在于,所述基于所述渗透攻击入口节点对所述渗透目标进行渗透测试,得到所述渗透目标的渗透测试结果,包括:
将所述渗透攻击入口节点作为渗透测试的测试入口,利用所述渗透攻击入口节点关联的攻击条件和攻击方式,对所述渗透目标进行渗透测试,得到所述渗透目标的渗透测试结果。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于所述渗透目标的渗透测试结果,生成所述渗透测试报告并显示。
8.一种渗透测试装置,其特征在于,包括:
获取模块,用于获取渗透目标对应的目标信息图谱;
分析模块,用于对所述目标信息图谱的各个节点进行攻击点分析,得到所述目标信息图谱的渗透攻击入口节点;
渗透测试模块,用于基于所述渗透攻击入口节点对所述渗透目标进行渗透测试,得到所述渗透目标的渗透测试结果。
9.一种电子设备,其特征在于,包括:
处理器;
存储器,用于存储可执行指令;
其中,所述处理器用于从所述存储器中读取所述可执行指令,并执行所述可执行指令以实现上述权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述存储介质存储有计算机程序,当所述计算机程序被处理器执行时,使得处理器实现上述权利要求1-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211687470.0A CN116015881B (zh) | 2022-12-27 | 2022-12-27 | 渗透测试方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211687470.0A CN116015881B (zh) | 2022-12-27 | 2022-12-27 | 渗透测试方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116015881A true CN116015881A (zh) | 2023-04-25 |
| CN116015881B CN116015881B (zh) | 2023-08-29 |
Family
ID=86032944
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211687470.0A Active CN116015881B (zh) | 2022-12-27 | 2022-12-27 | 渗透测试方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116015881B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116775147A (zh) * | 2023-06-08 | 2023-09-19 | 北京天融信网络安全技术有限公司 | 一种可执行文件处理方法、装置、设备及存储介质 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546639A (zh) * | 2012-01-12 | 2012-07-04 | 北京航空航天大学 | 一种面向网络的渗透测试方案自动生成方法 |
| US20150188941A1 (en) * | 2013-12-26 | 2015-07-02 | Telefonica Digital Espana, S.L.U. | Method and system for predicting victim users and detecting fake user accounts in online social networks |
| CN105827642A (zh) * | 2016-05-16 | 2016-08-03 | 深圳市安络科技有限公司 | 一种自动化渗透测试方法及系统 |
| CN110221977A (zh) * | 2019-06-03 | 2019-09-10 | 江苏亨通工控安全研究院有限公司 | 基于ai的网站渗透测试方法 |
| CN110851841A (zh) * | 2019-11-26 | 2020-02-28 | 西安四叶草信息技术有限公司 | 渗透测试方法、设备及存储介质 |
| US20200280577A1 (en) * | 2019-02-28 | 2020-09-03 | Xm Cyber Ltd. | Lateral Movement Strategy During Penetration Testing of a Networked System |
| US20210034755A1 (en) * | 2019-07-31 | 2021-02-04 | International Business Machines Corporation | Automatic penetration testing enablement of regression buckets |
| US11063601B1 (en) * | 2020-04-20 | 2021-07-13 | Netapp, Inc. | File system format for persistent memory |
| CN113312627A (zh) * | 2021-04-22 | 2021-08-27 | 北京墨云科技有限公司 | 一种基于知识图谱的联合利用方法、装置、系统 |
| US20210357507A1 (en) * | 2020-05-15 | 2021-11-18 | Twilio Inc. | Framework for automated penetration testing |
| CN114091034A (zh) * | 2021-11-12 | 2022-02-25 | 绿盟科技集团股份有限公司 | 一种安全渗透测试方法、装置、电子设备及存储介质 |
| CN114398643A (zh) * | 2022-01-20 | 2022-04-26 | 中国联合网络通信集团有限公司 | 渗透路径规划方法、装置、计算机和存储介质 |
| CN114499939A (zh) * | 2021-12-21 | 2022-05-13 | 四维创智(北京)科技发展有限公司 | 一种基于知识图谱的最优路径选择方法、系统、可存储介质和电子设备 |
-
2022
- 2022-12-27 CN CN202211687470.0A patent/CN116015881B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546639A (zh) * | 2012-01-12 | 2012-07-04 | 北京航空航天大学 | 一种面向网络的渗透测试方案自动生成方法 |
| US20150188941A1 (en) * | 2013-12-26 | 2015-07-02 | Telefonica Digital Espana, S.L.U. | Method and system for predicting victim users and detecting fake user accounts in online social networks |
| CN105827642A (zh) * | 2016-05-16 | 2016-08-03 | 深圳市安络科技有限公司 | 一种自动化渗透测试方法及系统 |
| US20200280577A1 (en) * | 2019-02-28 | 2020-09-03 | Xm Cyber Ltd. | Lateral Movement Strategy During Penetration Testing of a Networked System |
| CN110221977A (zh) * | 2019-06-03 | 2019-09-10 | 江苏亨通工控安全研究院有限公司 | 基于ai的网站渗透测试方法 |
| US20210034755A1 (en) * | 2019-07-31 | 2021-02-04 | International Business Machines Corporation | Automatic penetration testing enablement of regression buckets |
| CN110851841A (zh) * | 2019-11-26 | 2020-02-28 | 西安四叶草信息技术有限公司 | 渗透测试方法、设备及存储介质 |
| US11063601B1 (en) * | 2020-04-20 | 2021-07-13 | Netapp, Inc. | File system format for persistent memory |
| US20210357507A1 (en) * | 2020-05-15 | 2021-11-18 | Twilio Inc. | Framework for automated penetration testing |
| CN113312627A (zh) * | 2021-04-22 | 2021-08-27 | 北京墨云科技有限公司 | 一种基于知识图谱的联合利用方法、装置、系统 |
| CN114091034A (zh) * | 2021-11-12 | 2022-02-25 | 绿盟科技集团股份有限公司 | 一种安全渗透测试方法、装置、电子设备及存储介质 |
| CN114499939A (zh) * | 2021-12-21 | 2022-05-13 | 四维创智(北京)科技发展有限公司 | 一种基于知识图谱的最优路径选择方法、系统、可存储介质和电子设备 |
| CN114398643A (zh) * | 2022-01-20 | 2022-04-26 | 中国联合网络通信集团有限公司 | 渗透路径规划方法、装置、计算机和存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116775147A (zh) * | 2023-06-08 | 2023-09-19 | 北京天融信网络安全技术有限公司 | 一种可执行文件处理方法、装置、设备及存储介质 |
| CN116775147B (zh) * | 2023-06-08 | 2024-03-15 | 北京天融信网络安全技术有限公司 | 一种可执行文件处理方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116015881B (zh) | 2023-08-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10873594B2 (en) | Test system and method for identifying security vulnerabilities of a device under test | |
| CN107666413B (zh) | 用于测试被测设备的通信安全性的方法和装置 | |
| CN109344624B (zh) | 基于云端协作的渗透测试方法、平台、设备及存储介质 | |
| CN110266737B (zh) | 一种跨域资源共享的漏洞检测方法、装置、设备及介质 | |
| CN110677381A (zh) | 渗透测试的方法及装置、存储介质、电子装置 | |
| CN110995764B (zh) | 一种移动蜂窝网络应用层数据流量模糊测试方法、电子设备及存储介质 | |
| CN116015881B (zh) | 渗透测试方法、装置、设备及存储介质 | |
| US11729189B1 (en) | Virtual security appliances for eliciting attacks | |
| CN110765333A (zh) | 采集网站信息的方法及装置、存储介质、电子装置 | |
| Nikolov et al. | Network infrastructure for cybersecurity analysis | |
| CN112822223A (zh) | 一种dns隐蔽隧道事件自动化检测方法、装置和电子设备 | |
| CN113468075A (zh) | 一种服务器端软件的安全测试方法和系统 | |
| CN110768949B (zh) | 探测漏洞的方法及装置、存储介质、电子装置 | |
| CN109818972B (zh) | 一种工业控制系统信息安全管理方法、装置及电子设备 | |
| CN109688096B (zh) | Ip地址的识别方法、装置、设备及计算机可读存储介质 | |
| CN109309665B (zh) | 一种访问请求处理方法及装置、一种计算设备及存储介质 | |
| CN112685255A (zh) | 一种接口监控方法、装置、电子设备及存储介质 | |
| CN112448963A (zh) | 分析自动攻击工业资产的方法、装置、设备及存储介质 | |
| CN110401626B (zh) | 一种黑客攻击分级检测方法及装置 | |
| CN115955333A (zh) | C2服务器识别方法、装置、电子设备及可读存储介质 | |
| CN115935356A (zh) | 一种软件安全性测试方法、系统及应用 | |
| Astrida et al. | Analysis and evaluation of wireless network security with the penetration testing execution standard (PTES) | |
| CN106919836B (zh) | 应用的端口检测方法及装置 | |
| CN113238971A (zh) | 基于状态机的自动化渗透测试系统及方法 | |
| CN113660134A (zh) | 端口探测方法、装置、电子装置和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |