本申请涉及一种渗透测试方法及系统,属于数据安全领域,尤其涉及一种一种基于漏洞信息库的自动化渗透测试方法及系统。
背景技术:
::1、随着信息技术迅猛发展,5g大规模应用,网络空间安全已成为世界各国关注的重点。近年来,网络空间中攻击事件频发,对部分国家正常生产和安全造成了严重破坏。2、目前,市面上的安全渗透工具纷杂,可操作性及安全性仍有待提高。例如,sql注入工具sqlmap的使用就较为复杂。对于sql注入漏洞,sqlmap必须使用--dbs参数去枚举dbms(数据库管理系统)数据库,再使用--tables-d[数据库名称]去枚举的dbms数据库中的表,接着使用--columns-t[数据库中表名称]-d[数据库名称]去枚举dbms数据库表列,最后使用--dump-c[数据库中表的字段名称]-t[数据库中表名称]-d[数据库名称]去转储数据库管理系统的数据库中的表项;或者使用--os-cmd=oscmd执行操作系统命令,--os-shell获取交互式的操作系统的shell,这种方式需要频繁的请求数据库和应用系统,请求次数在短时间的内达到数千次,甚至是上万次,很容易被安防设备发现并进行拦截致使渗透失败,同时,这个部分的工作量较大,对人员的要求较高。因此,需要掌握各类注入参数才能灵活使用该工具。此外,sqlmap不支持sql注入漏洞的主动查找,只能依靠人工发现疑似注入漏洞后,再利用sqlmap工具进行漏洞验证。3、再比如最常用的漏洞检测工具nessus,利用该工具进行漏洞扫描时,nessus会加载所有的漏洞插件去扫描目标系统,而扫描产生大量漏洞信息,需要人工鉴别漏洞是否可以被利用、是否存在安全风险。例如,扫描结果中的高危漏洞unsupported web serverdetection表示web服务器已经过时,没有明确说明存在何种漏洞,渗透人员想要证明该漏洞危害或者利用该漏洞比较难或者直接是无法利用。技术实现思路1、根据本申请的第一个方面,提供了一种基于漏洞信息库的自动化渗透测试方法,该方法基于漏洞信息库,首先检测应用系统的框架类型,去漏洞信息库中去查找对应版本的漏洞,使用对应的漏洞检测程序进行精准打击,并利用漏洞利用程序提高检测精度,确保每个漏洞都能被证明其危害或者被渗透利用。2、所述基于漏洞信息库的自动化渗透测试方法,其特征在于,该方法包括:3、(1)建立漏洞扫描任务;4、(2)获取用户输入的被测系统的ip或域名信息,进行资产拓扑探测;5、(3)对资产拓扑探测中存活的ip进行端口探测、服务探测,得到端口和服务信息;6、(4)基于漏洞信息库,对所述端口和服务进行漏洞扫描;7、(5)根据所述漏洞扫描结果进行漏洞利用,实施渗透攻击。8、进一步地,所述资产拓扑探测包括:对目标网络进行拓扑绘制,并进行拓扑结构展示。9、优选地,所述漏洞信息库包含以下信息:端口、服务、漏洞名称、漏洞编号、是否能获取系统权限、渗透目的、检测脚本、攻击脚本。10、进一步地,所述步骤(4)包括:根据端口、服务信息,在漏洞信息库中匹配漏洞的漏洞检测程序,利用所述漏洞检测程序进行漏洞扫描。11、进一步地,所述漏洞利用包括:根据漏洞扫描结果,在漏洞信息库中匹配漏洞的漏洞利用程序,利用所述漏洞利用程序进行渗透攻击。12、优选地,所述漏洞利用还包括:13、根据漏洞扫描结果,在漏洞信息库中匹配是否能获取系统权限的字段;14、若字段为是,则利用系统权限获取网络信息建立隧道;15、利用所述隧道进行内网循环扫描。16、优选地,所述渗透攻击根据漏洞在漏洞信息库中匹配到的渗透目的进行实施。17、优选地,所述渗透目的包括以下至少一种:入侵渗透、服务破坏、远程控守、病毒攻击、信息探测。18、根据本申请的第二个方面,提供了一种基于漏洞信息库的自动化渗透测试系统,包括业务操作管理子系统、自动渗透测试子系统;所述业务操作管理子系统用于根据用户输入的被测系统的ip或域名信息,调用自动渗透测试子系统中的程序进行资产拓扑探测、端口探测和漏洞探测,根据漏洞信息库查询漏洞,匹配对应的漏洞利用程序。19、优选地,所述业务操作管理子系统还用于根据漏洞信息库匹配到的渗透目的,调用自动渗透测试子系统中的渗透攻击程序。20、优选地,所述渗透目的包括以下至少一种:入侵渗透、服务破坏、远程控守、病毒攻击、信息探测。21、优选地,所述业务操作管理子系统还用于根据漏洞信息库匹配到的系统权限信息,调用自动渗透测试子系统中的针对不同操作系统的隧道建立程序。22、优选地,该系统还包括web前端子系统,用于进行渗透攻击的人机交互,对资产及漏洞相关信息进行页面展示。23、本申请能产生的有益效果包括:24、1)本申请所提供的基于漏洞信息库的自动化渗透技术,只需要用户输入被测资产ip或者域名,基于漏洞信息库,能够自动识别资产、扫描开放端口、识别端口服务,最终根据服务类型和端口号匹配漏洞检测程序进行漏洞扫描,能够实现精准打击。例如,对于处理sql注入漏洞的应用场景,通达oa前台get_datas.php文件漏洞,漏洞信息库会囊括该框架的sql注入类型漏洞,并且通过将对应的sql注入语句封装成python程序进行精准打击。25、2)本申请所提供的漏洞信息库,可对其中不可被利用的漏洞,根据漏洞实际的危害程度进行筛选、删除。公开的漏洞数量非常庞大,可能有近几十万,但有些漏洞基本没法被攻击者利用或者只是设计上的小缺陷,如果对所有漏洞都进行收录而不做筛选,一方面会影响漏洞扫描的效率,增加工作量,另一方面会影响漏洞扫描的准确率。26、3)本申请所提供的基于漏洞信息库的自动化渗透技术,每个漏洞绑定有两个程序,即漏洞检测程序和漏洞利用程序,大大提高了漏洞检测的精度,确保每个漏洞都能被基于漏洞信息库的自动化渗透技术进行证明其危害或者被渗透利用。本申请同时解决了现有技术需要人工甄别扫描结果是否有效、漏洞是否存在风险、无法根据渗透意图对目标系统开展渗透测试等问题。27、4)本申请所提供的基于漏洞信息库的自动化渗透技术,能够自动进行漏洞利用,并根据漏洞信息库中定义的渗透目的实施网络攻击,如服务破坏、远程控守、病毒攻击等,满足了在网络战争中对敌方网络实施有目的性的渗透攻击任务的需求,极大地减少了对渗透攻击人员的技术要求。技术特征:1.一种基于漏洞信息库的自动化渗透测试方法,其特征在于,该方法包括:2.根据权利要求1所述的基于漏洞信息库的自动化渗透测试方法,其特征在于,所述资产拓扑探测包括:对目标网络进行拓扑绘制,并进行拓扑结构展示;3.根据权利要求1所述的基于漏洞信息库的自动化渗透测试方法,其特征在于,所述步骤(4)包括:根据端口、服务信息,在漏洞信息库中匹配漏洞的漏洞检测程序,利用所述漏洞检测程序进行漏洞扫描。4.根据权利要求1所述的基于漏洞信息库的自动化渗透测试方法,其特征在于,所述漏洞利用包括:根据漏洞扫描结果,在漏洞信息库中匹配漏洞的漏洞利用程序,利用所述漏洞利用程序进行渗透攻击。5.根据权利要求4所述的基于漏洞信息库的自动化渗透测试方法,其特征在于,所述漏洞利用还包括:6.根据权利要求1所述的基于漏洞信息库的自动化渗透测试方法,其特征在于,所述渗透攻击根据漏洞在漏洞信息库中匹配到的渗透目的进行实施;7.一种基于漏洞信息库的自动化渗透测试系统,其特征在于,该系统包括业务操作管理子系统、自动渗透测试子系统;所述业务操作管理子系统用于根据用户输入的被测系统的ip或域名信息,调用自动渗透测试子系统中的程序进行资产拓扑探测、端口探测和漏洞探测,根据漏洞信息库查询漏洞,匹配对应的漏洞利用程序。8.根据权利要求7所述的自动化渗透测试系统,其特征在于,所述业务操作管理子系统还用于根据漏洞信息库匹配到的渗透目的,调用自动渗透测试子系统中的渗透攻击程序;9.根据权利要求7所述的自动化渗透测试系统,其特征在于,所述业务操作管理子系统还用于根据漏洞信息库匹配到的系统权限信息,调用自动渗透测试子系统中的针对不同操作系统的隧道建立程序。10.根据权利要求7所述的自动化渗透测试系统,其特征在于,该系统还包括web前端子系统,用于进行渗透攻击的人机交互,对资产及漏洞相关信息进行页面展示。技术总结本申请公开了一种基于漏洞信息库的自动化渗透测试方法及系统,其中方法包括对于漏洞扫描任务,先根据被测应用系统的框架类型,在漏洞信息库中查找对应版本的漏洞,使用漏洞检测程序进行精准打击,再在漏洞信息库中匹配漏洞的漏洞利用程序,进行渗透攻击。本申请还能够在自动判断并获取系统权限后,建立并利用隧道进行内网循环扫描。本申请还能够根据漏洞信息库中定义的渗透目的,实施目的性的渗透攻击。本申请解决了现有安全工具使用复杂、误报率高、需要人工干预且人工必须具有较高技术素养等难题。技术研发人员:傅涛,周经鑫,季文博,程旺宗,黄鑫,詹林涛,陈琳,吕正学受保护的技术使用者:博智安全科技股份有限公司技术研发日:技术公布日:2024/1/15