【技术实现步骤摘要】
一种网络安全渗透测试方法及系统
[0001]本专利技术涉及系统测试
,具体为一种网络安全渗透测试方法及系统。
技术介绍
[0002]渗透测试,是一项在计算机系统上进行的授权模拟攻击,旨在对其安全性进行评估,是为了证明网络防御按照预期计划正常运行而提供的一种机制,渗透测试(penetration test)并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。
[0003]现有的系统渗透测试的方法及系统在具体使用时不能对不同层次的测试进行不同程度的验证,不能保证测试的漏洞的准确性,使用效果存在一定的不足。
技术实现思路
[0004]本专利技术提供如下技术方案:一种网络安全渗透测试系统,包括渗透测试系统,所述渗透测试系统包括审核模块、收集模块、处理模块、一次探测模块、验证模块、二次探测模块、清理模块和结果分析模块,审核模块的输出端与收集模块的输入端连接,收集模块的输出端与处理模块的输入端连接,处理模块的输出端与一次探测模块的输入端连接,一次探测模块的输出端与一次验证模块的输入端连接,一次验证模块的输出端与二次探测模块的输入端连接,二次探测模块的输出端与二次验证模块的输入端连接,二次验证模块的输出端与清理模块的输入端连接,清理模块的输出端与结果分析模块的输入端连接。>[0005]通过采用上述技术方案;通过审核模块清楚了解和掌握客户对渗透测试的需求,便于测试人员掌握渗透测试的程度,便于向客户提供精准且高效率的测试,且通过一次验证模块和二次验证模块分别对一次探测模块和二次探测模块探测的漏洞进行验证,保证一次探测模块和二次探测模块探测的真实性,并便于向探测不是漏洞进行再次探测并验证,避免探测出现差错,通过清理模块对渗透测试过程中的进行全面清除,避免因此影响渗透测试完成后的系统的使用效果。
[0006]优选的,所述审核模块用于收集客户对渗透测试的需求,并使测试人员结合客户需求作出测试方法,且由审核人员对测试方法的可行性进行预判,对测试方法进行进一步的优化和完善。
[0007]通过采用上述技术方案;通过审核模块清楚了解和掌握客户对渗透测试的需求,便于测试人员掌握渗透测试的程度,便于向客户提供精准且高效率的测试。
[0008]优选的,所述收集模块用于对需要进行渗透测试的系统进行服务信息、基础信息、系统信息、应用信息、版本信息和人员信息等相关信息进行收集,保证测试人员和审核人员对被渗透测试的系统进行充分掌握,采集工具为浏览器插件、相关终端命令和在线工具等。
[0009]通过采用上述技术方案;通过收集模块便于全面掌握被渗透测试系统的信息,便
于后期进行渗透测试,有利于提高渗透测试的精准度和全面性,降低测试过程中出现差错的次数。
[0010]优选的,所述处理模块用于对收集模块收集的信息进行处理,并结合测试人员制定的测试方案进行具体实施。
[0011]通过采用上述技术方案;将测试方案进行具体分化,并将分化后的方案分发至具体的测试人员,便于测试人员展开工作。
[0012]优选的,所述一次探测模块用于对被渗透测试系统的系统漏洞、服务器漏洞、应用漏洞和其它漏洞等进行一次探测,所述一次验证模块用于利用一次探测探测到的漏洞对被渗透测试的系统进行攻击,验证一次探测得出的漏洞的真实性,所述二次探测模块通过提高测试人员的相关权限,对被渗透测试的系统的系统漏洞、服务器漏洞、应用漏洞和其它漏洞等进行二次探测,所述二次验证模块用于利用二次探测探测到的漏洞对被渗透测试的系统进行攻击,验证二次探测得出的漏洞的真实性。
[0013]通过采用上述技术方案:通过一次验证模块和二次验证模块分别对一次探测模块和二次探测模块探测的漏洞进行验证,保证一次探测模块和二次探测模块探测的真实性,并便于向探测不是漏洞进行再次探测并验证,避免探测出现差错。
[0014]优选的,所述二次探测模块在一次探测模块的基础上进行深层次的漏洞探测,所述一次验证模块和二次验证模块分别对一次探测模块的探测结果和二次探测模块的探测结果进行验证,二次验证模块在一次验证模块的基础上进行深层次的结果验证。
[0015]通过采用上述技术方案:提高渗透测试的测试程度,有利于等全面更深度的进行渗透测试。
[0016]优选的,所述一次验证模块和二次验证模块验证的漏洞结果和不是漏洞结果及一次探测模块探测的漏洞和二次探测模块探测的漏洞均进行单独存储,为后续清理模块和结果分析模块的实施奠下基础。
[0017]通过采用上述技术方案:便于保存渗透测试过程中的程序等,有利于后期生成实验报告。
[0018]优选的,所述结果分析模块用于对渗透测试的过程和得出的结果进行分析并总结,且编写渗透测试报告,将由测试得出的结果清楚向客户呈现,解释测试结果的利害关系,由客户决定渗透测试的修复程度。
[0019]通过采用上述技术方案:对客户的需求进行精准服务,减少不必要的服务一种网络安全渗透测试方法,包括以下主要步骤:
[0020]S1:对需要进行渗透测试的系统进行基础信息、系统信息、应用信息、版本信息和人员信息等相关信息进行收集;
[0021]S2:对收集模块收集的信息进行处理,并结合测试人员制定的测试方案进行具体实施;
[0022]S3:对被渗透测试系统的系统漏洞、服务器漏洞、应用漏洞和其它漏洞等进行一次探测;
[0023]S4:利用一次探测探测到的漏洞对被渗透测试的系统进行攻击,验证一次探测得出的漏洞的真实性;
[0024]S5:提高测试人员的相关权限,对被渗透测试的系统的系统漏洞、服务器漏洞、应
用漏洞和其它漏洞等进行二次探测;
[0025]S6:利用二次探测探测到的漏洞对被渗透测试的系统进行攻击,验证二次探测得出的漏洞的真实性;
[0026]S7:对渗透测试过程中操作的、植入的程序、添加的测试账号和测试文件等进行清除;
[0027]S8:对渗透测试得出的结果进行分析,并编写渗透测试报告。
[0028]优选的,还包括确定客户渗透测试需求,并结合测试人员的测试方法预判测试的可行性,若测试方法可行,则通过上述步骤S1进行后续实施,若测试方法不可行,则重新与客户协商,并重新制定测试方法,且对重新制定的方法进行再次预判。
[0029]优选的,所述上述步骤S4和步骤S6中若对一次探测和二次探测的结果出现不是漏洞的状况,则将一次探测和二次探测到的不是漏洞直接生成测试报告,进行再次验证。
[0030]有益效果
[0031]与现有技术相比,本专利技术提供了一种网络安全渗透测试方法及系统,具备以下有益效果:
[0032]本专利技术通过审核模块清楚了解和掌握客户对渗透测试的需求,便于测试人员掌握渗透测试的程度,便于向客户提供精本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络安全渗透测试方法,其特征在于,包括以下主要步骤:S1:对需要进行渗透测试的系统进行基础信息、系统信息、应用信息、版本信息和人员信息等相关信息进行收集;S2:对收集模块收集的信息进行处理,并结合测试人员制定的测试方案进行具体实施;S3:对被测试系统的系统漏洞、服务器漏洞、应用漏洞和其它漏洞等进行一次探测;S4:利用一次探测探测到的漏洞对被渗透测试的系统进行攻击,验证一次探测得出的漏洞的真实性;S5:提高测试人员的相关权限,对被测试的系统的系统漏洞、服务器漏洞、应用漏洞和其它漏洞等进行二次探测;S6:利用二次探测探测到的漏洞对被渗透测试的系统进行攻击,验证二次探测得出的漏洞的真实性;S7:对渗透测试过程中操作的、植入的程序、添加的测试账号和测试文件等进行清除;S8:对渗透测试得出的结果进行分析,并编写渗透测试报告。2.根据权利要求1所述的一种网络安全渗透测试方法,其特征在于,还包括确定客户渗透测试需求,并结合测试人员的测试方法预判测试的可行性,若测试方法可行,则通过上述步骤S1进行后续实施,若测试方法不可行,则重新与客户协商,并重新制定测试方法,且对重新制定的方法进行再次预判。3.根据权利要求1所述的一种网络安全渗透测试方法,其特征在于,所述上述步骤S4和步骤S6中若对一次探测和二次探测的结果出现不是漏洞的状况,则将一次探测和二次探测到的不是漏洞直接生成测试报告,进行再次验证。4.一种网络安全渗透测试系统,其特征在于,包括渗透测试系统,所述渗透测试系统包括审核模块、收集模块、处理模块、一次探测模块、验证模块、二次探测模块、清理模块和结果分析模块,审核模块的输出端与收集模块的输入端连接,收集模块的输出端与处理模块的输入端连接,处理模块的输出端与一次探测模块的输入端连...
【专利技术属性】
技术研发人员:王霈,曾宏威,修建刚,陆再鸿,
申请(专利权)人:成都泰瑞通信设备检测有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。