【技术实现步骤摘要】
本专利技术涉及网络安全领域,具体地,涉及一种针对容器环境的智能渗透测试系统,尤其是涉及一种基于容器环境信息搜集的智能渗透测试系统。
技术介绍
1、当前,容器技术已经被广泛应用于企业开发流程和应用服务部署的基础环境中,并与ci/cd流程紧密结合。通过容器技术,用户可以更加轻松地部署、管理和扩展应用程序,同时也可以更有效地利用服务器资源。在云原生系统中,容器技术是核心技术之一,其应用范围涵盖底层基础设施、中间层容器及其编排管理、上层应用等多个层次的环节。然而,与容器技术的广泛应用相比,容器安全性的保障仍然面临着一系列挑战和问题。
2、容器本身是通过linux提供的namespaces、cgroups等安全机制与宿主机进行隔离的,但容器逃逸却能够绕过这些安全机制,从而使得攻击者可以直接在宿主机上执行恶意代码,对宿主机、容器和其中运行的应用程序造成极大的威胁和损害。如果应用以pod形式部署在kubernetes集群中,则攻击者通过容器逃逸不仅可以控制宿主机,还可以执行信息窃取、横向移动、权限提升、持久化等多种攻击手段,从而控制整个kubernetes集群,对企业的商业利益和安全造成致命的威胁。
3、与此同时,越来越多的针对容器环境的渗透测试系统面世,比如宿主机配置扫描器dockscan,docker镜像分析工具clair、trivy、dockle等,容器逃逸工具botb、metasploit相关模块、harpoon等等。然而这些工具集目前存在环境检测、信息搜集和实际渗透测试相分离的问题,或侧重于探测容器环境以及检
技术实现思路
1、针对现有技术中的缺陷,本专利技术的目的是提供一种针对容器环境的智能渗透测试系统。
2、根据本专利技术提供的一种针对容器环境的智能渗透测试系统,包括:环境检测模块、信息搜集模块和渗透测试模块;
3、所述环境检测模块用于环境检测,评估当前处于容器环境内部的置信度;
4、所述信息搜集模块用于搜集环境内部敏感信息,匹配系统预置的容器环境漏洞,并提供针对性的渗透测试技术建议;
5、所述渗透测试模块用于渗透测试,通过自动或用户手动选择自动渗透测试方法。
6、优选地,所述环境检测模块通过全面分析文件系统下的容器环境文件、cgroups和apparmor配置、文件系统挂载以及硬件设备的可访问性,以判断当前环境是否位于容器内部,并提供具有置信度的输出。
7、优选地,所述环境检测模块判断当前环境是否位于容器内部包括:
8、自动搜寻容器用于设置环境变量的文件,以验证是否在容器环境;
9、读取初始进程的cgroups配置文件,并运用正则匹配技术进行分析,从而判断当前环境是否处于docker子控制组下;
10、读取当前进程的apparmor配置文件,并运用正则匹配技术进行分析,从而判断当前环境是否处于容器内部;
11、遍历当前环境中挂载的所有文件系统,并运用正则匹配技术进行分析,从而判断当前环境是否存在docker容器类型挂载;
12、遍历当前环境中的所有硬件设备并尝试访问,对于无法访问的硬件设备进行记录;
13、通过对各项指标进行权衡,输出得出带置信度的综合评判结果。
14、优选地,所述信息收集模块收集的信息包括容器环境内部敏感文件及文件信息、敏感环境变量、敏感目录、敏感挂载以及敏感套接字。
15、优选地,所述信息收集模块在构建容器环境属性域的过程中,当搜集到敏感信息时记录详细信息,并将属性域中的相关标志位置位,得到敏感信息标志位置位的带有详细日志信息的容器环境属性域。
16、优选地,所述信息收集模块将容器环境属性域与事先内置于系统的漏洞进行逐一匹配,进而找到当前环境存在的所有已知漏洞;根据系统内置漏洞对应的渗透测试技术按照一对一映射即提供对应的渗透测试技术建议。
17、优选地,信息收集模块通过综合评估容器环境权限、遍历容器环境文件系统、收集挂载文件系统信息、搜寻容器环境中的敏感信息以及获取容器环境内核版本数据,构建容器环境信息属性域,匹配系统预置的容器环境漏洞,为用户提供针对性的渗透测试技术建议。
18、优选地,所述容器环境信息属性于的构建包括:
19、自动读取并解析当前环境权限,以判断是否为特权容器;
20、自动遍历当前环境的文件系统,检查是否存在挂载到容器内部的docker.sock;
21、自动检测当前环境挂载的文件系统是否存在procfs类型挂载;
22、自动获取环境中的环境变量;
23、自动获取并解析当前内核版本。
24、优选地,所述渗透测试模块包括应用层、服务层和系统层3个层面的多种渗透测试技术,用户根据信息收集模块的建议,选择渗透测试方法进行实际操作。
25、优选地,所述渗透测试模块根据信息搜集模块构造的容器环境属性域,选择其中cap_dac_read_search逃逸模块、特权容器逃逸模块、挂载docker.sock逃逸模块尝试进行渗透测试。
26、与现有技术相比,本专利技术具有如下的有益效果:
27、1、本专利技术实现了更全面的信息收集和环境检测;相较于现有技术,本专利技术实现了更全面的信息收集和环境检测,从多个维度进行环境检测,并进行更细粒度的信息收集,从而为用户提供更丰富的容器环境信息。
28、2、本专利技术实现了整合信息收集和渗透测试流程;与现有技术相比,本专利技术将信息收集与实际渗透测试紧密结合,用户可以在同一套系统中进行信息收集,并根据收集到的建议执行实际渗透测试。
29、3、本专利技术实现了自动渗透测试;相较于现有技术,本专利技术还能实现自动渗透测试,系统会根据信息收集模块获取的漏洞信息,选择无需人工介入的若干种渗透测试技术逐一尝试,完成自动渗透测试。
本文档来自技高网...【技术保护点】
1.一种针对容器环境的智能渗透测试系统,其特征在于,包括:环境检测模块、信息搜集模块和渗透测试模块;
2.根据权利要求1所述的针对容器环境的智能渗透测试系统,其特征在于,所述环境检测模块通过全面分析文件系统下的容器环境文件、cgroups和apparmor配置、文件系统挂载以及硬件设备的可访问性,以判断当前环境是否位于容器内部,并提供具有置信度的输出。
3.根据权利要求2所述的针对容器环境的智能渗透测试系统,其特征在于,所述环境检测模块判断当前环境是否位于容器内部包括:
4.根据权利要求1所述的针对容器环境的智能渗透测试系统,其特征在于,所述信息收集模块收集的信息包括容器环境内部敏感文件及文件信息、敏感环境变量、敏感目录、敏感挂载以及敏感套接字。
5.根据权利要求1所述的针对容器环境的智能渗透测试系统,其特征在于,所述信息收集模块在构建容器环境属性域的过程中,当搜集到敏感信息时记录详细信息,并将属性域中的相关标志位置位,得到敏感信息标志位置位的带有详细日志信息的容器环境属性域。
6.根据权利要求1所述的针对容器环境的智能
7.根据权利要求1所述的针对容器环境的智能渗透测试系统,其特征在于,信息收集模块通过综合评估容器环境权限、遍历容器环境文件系统、收集挂载文件系统信息、搜寻容器环境中的敏感信息以及获取容器环境内核版本数据,构建容器环境信息属性域,匹配系统预置的容器环境漏洞,为用户提供针对性的渗透测试技术建议。
8.根据权利要求7所述的针对容器环境的智能渗透测试系统,其特征在于,所述容器环境信息属性于的构建包括:
9.根据权利要求1所述的针对容器环境的智能渗透测试系统,其特征在于,所述渗透测试模块包括应用层、服务层和系统层3个层面的多种渗透测试技术,用户根据信息收集模块的建议,选择渗透测试方法进行实际操作。
10.根据权利要求1所述的针对容器环境的智能渗透测试系统,其特征在于,所述渗透测试模块根据信息搜集模块构造的容器环境属性域,选择其中CAP_DAC_READ_SEARCH逃逸模块、特权容器逃逸模块、挂载docker.sock逃逸模块尝试进行渗透测试。
...【技术特征摘要】
1.一种针对容器环境的智能渗透测试系统,其特征在于,包括:环境检测模块、信息搜集模块和渗透测试模块;
2.根据权利要求1所述的针对容器环境的智能渗透测试系统,其特征在于,所述环境检测模块通过全面分析文件系统下的容器环境文件、cgroups和apparmor配置、文件系统挂载以及硬件设备的可访问性,以判断当前环境是否位于容器内部,并提供具有置信度的输出。
3.根据权利要求2所述的针对容器环境的智能渗透测试系统,其特征在于,所述环境检测模块判断当前环境是否位于容器内部包括:
4.根据权利要求1所述的针对容器环境的智能渗透测试系统,其特征在于,所述信息收集模块收集的信息包括容器环境内部敏感文件及文件信息、敏感环境变量、敏感目录、敏感挂载以及敏感套接字。
5.根据权利要求1所述的针对容器环境的智能渗透测试系统,其特征在于,所述信息收集模块在构建容器环境属性域的过程中,当搜集到敏感信息时记录详细信息,并将属性域中的相关标志位置位,得到敏感信息标志位置位的带有详细日志信息的容器环境属性域。
6.根据权利要求1所述的针对容器环境的智能渗透测试系统,其特征在于,所述信息收集模块将容器环境属性...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。