一种渗透测试方法、系统、计算机设备及存储介质与流程

本发明涉及信息安全，具体涉及一种渗透测试方法、系统、计算机设备以及非易失性计算机可读存储介质。

背景技术：

1、目前，随着互联网行业的快速发展，越来越多的互联网应用如网上银行、电子商务、大数据、云存储等在不断的深入人们的生活，如果这些承载着大量信息的互联网应用存在不安全隐患，如被攻击者恶意利用，那么用户的个人信息、甚至是整个应用系统都会面临安全风险。随着承载着纷杂多样且海量数据信息的互联网应用的蓬勃发展，大家也越来越关注互联网应用信息安全。此时，渗透测试应运而生，渗透测试(penetrationtest)是指完全模拟黑客可能使用的攻击技术和漏洞挖掘技术，对被测目标的安全作深入的检测，发现被测目标最脆弱的环节，发现复杂、相互关联的安全问题、更深层次的弱点，并将入侵的过程和细节产生报告给用户。

2、在现有技术中，渗透测试的工作主要还是依赖于人工，对于通常的互联网应用管理员而言，在进行互联网应用的安全管理时，不仅需要耗费大量时间、熟知攻防技术，还需要不断研究新的方法和技术，同时，在信息收集、漏洞利用等工作上都存在速度慢、周期长的问题，并且较难做到全面漏洞检测。

3、因此，现有技术还有待改进和提高。

技术实现思路

1、鉴于上述现有技术的不足之处，本发明的目的在于提供一种渗透测试方法、系统、计算机设备以及非易失性计算机可读存储介质，旨在解决现有技术中的渗透测试工作主要依赖于人工，在渗透测试工作中存在速度慢、周期长并且较难做到全面漏洞检测的问题。

2、为了达到上述目的，本发明采取了以下技术方案：

3、一种渗透测试方法，其特征在于，包括：

4、收集被测目标中待检测的目标资产；

5、对所述目标资产进行存活检测；

6、对所述目标资产中存活的资产进行指纹识别，以确定所述被测目标的指纹特征；

7、根据所述指纹特征对所述被测目标进行渗透测试。

8、在进一步的技术方案中，所述的渗透测试方法，其特征在于，所述根据所述指纹特征对所述被测目标进行渗透测试之后，还包括：

9、自动化输出测试结果，并展示所述被测目标存在的威胁分析。

10、在进一步的技术方案中，所述的渗透测试方法，其特征在于，所述收集被测目标中待检测的目标资产，包括：

11、预先开发api接口、搜索引擎接口及其匹配规则的增删改除功能；

12、根据被测目标的域名、ip或者公司名称，通过预先开发的所述api接口和/或所述搜索引擎接口收集所述被测目标中待检测的目标资产。

13、在进一步的技术方案中，所述的渗透测试方法，其特征在于，所述对所述目标资产进行存活检测，包括：

14、对所述目标资产进行存活检测，并收集所述目标资产的状态码、标题以及开放的端口信息。

15、在进一步的技术方案中，所述的渗透测试方法，其特征在于，所述对所述目标资产中存活的资产进行指纹识别，以确定所述被测目标的指纹特征，包括：

16、预先开发指纹库，并实现指纹库规则的增删改除功能；

17、通过预先开发的所述指纹库对所述目标资产中存活的资产以及开放的端口进行指纹识别，以确定所述被测目标的指纹特征。

18、在进一步的技术方案中，所述的渗透测试方法，其特征在于，所述根据所述指纹特征对所述被测目标进行渗透测试，包括：

19、预先开发漏洞库，并实现其中漏洞及其匹配规则的增删改除功能；

20、基于预先开发的所述漏洞库，并根据所述指纹特征对所述被测目标进行漏洞搜集，以得到所述被测目标的漏洞信息；

21、根据所述漏洞信息对所述被测目标进行poc验证，以确定所述漏洞信息是否存在。

22、在进一步的技术方案中，所述的渗透测试方法，其特征在于，所述根据所述指纹特征对所述被测目标进行渗透测试，还包括：

23、根据poc验证的结果，实时的更新poc。

24、一种渗透测试系统，其特征在于，包括：

25、资产收集模块，用于收集被测目标中待检测的目标资产；

26、存活检测模块，用于对所述目标资产进行存活检测；

27、指纹识别模块，用于对所述目标资产中存活的资产进行指纹识别，以确定所述被测目标的指纹特征；

28、渗透测试模块，用于根据所述指纹特征对所述被测目标进行渗透测试。

29、在进一步的技术方案中，所述的渗透测试系统，其特征在于，所述根据所述指纹特征对所述被测目标进行渗透测试之后，还包括：

30、自动化输出测试结果，并展示所述被测目标存在的威胁分析。

31、在进一步的技术方案中，所述的渗透测试系统，其特征在于，所述收集被测目标中待检测的目标资产，包括：

32、预先开发api接口、搜索引擎接口及其匹配规则的增删改除功能；

33、根据被测目标的域名、ip或者公司名称，通过预先开发的所述api接口和/或所述搜索引擎接口收集所述被测目标中待检测的目标资产。

34、在进一步的技术方案中，所述的渗透测试系统，其特征在于，所述对所述目标资产进行存活检测，包括：

35、对所述目标资产进行存活检测，并收集所述目标资产的状态码、标题以及开放的端口信息。

36、在进一步的技术方案中，所述的渗透测试系统，其特征在于，所述对所述目标资产中存活的资产进行指纹识别，以确定所述被测目标的指纹特征，包括：

37、预先开发指纹库，并实现指纹库规则的增删改除功能；

38、通过预先开发的所述指纹库对所述目标资产中存活的资产以及开放的端口进行指纹识别，以确定所述被测目标的指纹特征。

39、在进一步的技术方案中，所述的渗透测试系统，其特征在于，所述根据所述指纹特征对所述被测目标进行渗透测试，包括：

40、预先开发漏洞库，并实现其中漏洞及其匹配规则的增删改除功能；

41、基于预先开发的所述漏洞库，并根据所述指纹特征对所述被测目标进行漏洞搜集，以得到所述被测目标的漏洞信息；

42、根据所述漏洞信息对所述被测目标进行poc验证，以确定所述漏洞信息是否存在。

43、在进一步的技术方案中，所述的渗透测试系统，其特征在于，所述根据所述指纹特征对所述被测目标进行渗透测试，还包括：

44、根据poc验证的结果，实时的更新poc。

45、一种计算机设备，其特征在于，所述计算机设备包括至少一个处理器；以及，

46、与所述至少一个处理器通信连接的存储器；其中，

47、所述存储器上存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行时，可实现：

48、收集被测目标中待检测的目标资产；

49、对所述目标资产进行存活检测；

50、对所述目标资产中存活的资产进行指纹识别，以确定所述被测目标的指纹特征；

51、根据所述指纹特征对所述被测目标进行渗透测试。

52、在进一步的技术方案中，所述的计算机设备，其特征在于，所述根据所述指纹特征对所述被测目标进行渗透测试之后，还包括：

53、自动化输出测试结果，并展示所述被测目标存在的威胁分析。

54、在进一步的技术方案中，所述的计算机设备，其特征在于，所述收集被测目标中待检测的目标资产，包括：

55、预先开发api接口、搜索引擎接口及其匹配规则的增删改除功能；

56、根据被测目标的域名、ip或者公司名称，通过预先开发的所述api接口和/或所述搜索引擎接口收集所述被测目标中待检测的目标资产。

57、在进一步的技术方案中，所述的计算机设备，其特征在于，所述对所述目标资产进行存活检测，包括：

58、对所述目标资产进行存活检测，并收集所述目标资产的状态码、标题以及开放的端口信息。

59、在进一步的技术方案中，所述的计算机设备，其特征在于，所述对所述目标资产中存活的资产进行指纹识别，以确定所述被测目标的指纹特征，包括：

60、预先开发指纹库，并实现指纹库规则的增删改除功能；

61、通过预先开发的所述指纹库对所述目标资产中存活的资产以及开放的端口进行指纹识别，以确定所述被测目标的指纹特征。

62、在进一步的技术方案中，所述的计算机设备，其特征在于，所述根据所述指纹特征对所述被测目标进行渗透测试，包括：

63、预先开发漏洞库，并实现其中漏洞及其匹配规则的增删改除功能；

64、基于预先开发的所述漏洞库，并根据所述指纹特征对所述被测目标进行漏洞搜集，以得到所述被测目标的漏洞信息；

65、根据所述漏洞信息对所述被测目标进行poc验证，以确定所述漏洞信息是否存在。

66、在进一步的技术方案中，所述的计算机设备，其特征在于，所述根据所述指纹特征对所述被测目标进行渗透测试，还包括：

67、根据poc验证的结果，实时的更新poc。

68、一种非易失性计算机可读存储介质，其特征在于，所述非易失性计算机可读存储介质存储有计算机程序，所述计算机程序被至少一个处理器执行时，可实现：

69、收集被测目标中待检测的目标资产；

70、对所述目标资产进行存活检测；

71、对所述目标资产中存活的资产进行指纹识别，以确定所述被测目标的指纹特征；

72、根据所述指纹特征对所述被测目标进行渗透测试。

73、在进一步的技术方案中，所述的非易失性计算机可读存储介质，其特征在于，所述根据所述指纹特征对所述被测目标进行渗透测试之后，还包括：

74、自动化输出测试结果，并展示所述被测目标存在的威胁分析。

75、在进一步的技术方案中，所述的非易失性计算机可读存储介质，其特征在于，所述收集被测目标中待检测的目标资产，包括：

76、预先开发api接口、搜索引擎接口及其匹配规则的增删改除功能；

77、根据被测目标的域名、ip或者公司名称，通过预先开发的所述api接口和/或所述搜索引擎接口收集所述被测目标中待检测的目标资产。

78、在进一步的技术方案中，所述的非易失性计算机可读存储介质，其特征在于，所述对所述目标资产进行存活检测，包括：

79、对所述目标资产进行存活检测，并收集所述目标资产的状态码、标题以及开放的端口信息。

80、在进一步的技术方案中，所述的非易失性计算机可读存储介质，其特征在于，所述对所述目标资产中存活的资产进行指纹识别，以确定所述被测目标的指纹特征，包括：

81、预先开发指纹库，并实现指纹库规则的增删改除功能；

82、通过预先开发的所述指纹库对所述目标资产中存活的资产以及开放的端口进行指纹识别，以确定所述被测目标的指纹特征。

83、在进一步的技术方案中，所述的非易失性计算机可读存储介质，其特征在于，所述根据所述指纹特征对所述被测目标进行渗透测试，包括：

84、预先开发漏洞库，并实现其中漏洞及其匹配规则的增删改除功能；

85、基于预先开发的所述漏洞库，并根据所述指纹特征对所述被测目标进行漏洞搜集，以得到所述被测目标的漏洞信息；

86、根据所述漏洞信息对所述被测目标进行poc验证，以确定所述漏洞信息是否存在。

87、在进一步的技术方案中，所述的非易失性计算机可读存储介质，其特征在于，所述根据所述指纹特征对所述被测目标进行渗透测试，还包括：

88、根据poc验证的结果，实时的更新poc。

89、相较于现有技术，本发明提供了一种渗透测试方法、系统、计算机设备及存储介质，其中，所述方法包括：收集被测目标中待检测的目标资产；对所述目标资产进行存活检测；对所述目标资产中存活的资产进行指纹识别，以确定所述被测目标的指纹特征；根据所述指纹特征对所述被测目标进行渗透测试。通过本发明的方法可解决现有技术中的渗透测试工作主要依赖于人工，在渗透测试工作中存在速度慢、周期长并且较难做到全面漏洞检测的问题，本发明的方法可在所述被测目标的渗透测试工作中节省大量的时间，并且对漏洞检测较为全面，提高了渗透测试工作的效率与成功率。