一种漏洞自动化利用方法以及系统
专利汇可以提供一种漏洞自动化利用方法以及系统专利检索,专利查询,专利分析的服务。并且本 发明 公开了一种漏洞自动化利用方法以及系统,属于漏洞识别技术领域。现有的漏洞自动化利用方案,渗透测试工作效率低,漏洞识别准确率低,无法对渗透的目标系统进行漏洞点的快速识别和验证。本发明提供一种双级渗透策略,首先对目标系统进行全面的信息收集和可疑漏洞探测,形成初步的渗透测试攻击面结果,然后对攻击面进行漏洞利用库匹配,执行匹配到的漏洞然后执行漏洞利用,提高渗透测试工作效率;采用Python动态加载函数的技术,利用 插件 形式提供不同类型的漏洞扫描工具集成,以提高漏洞识别准确率;最终实现对渗透的目标系统漏洞点的快速识别和验证,方案详细,切实可行。,下面是一种漏洞自动化利用方法以及系统专利的具体信息内容。
1.一种漏洞自动化利用方法,其特征在于,包括以下步骤:
第一步:建立信息收集结果表,该表采用全局信息共享的形式,能够在整体的漏洞自动化检测利用过程中进行信息的获取,提高了信息重复利用率;
第二步:对目标系统进行全面的信息收集和可疑漏洞探测,形成初步的渗透测试攻击面结果;
第三步:建立漏洞库,对攻击面进行漏洞库匹配,执行匹配到的漏洞;
所述漏洞库保存各类隐患和漏洞信息;通过收集到的信息对目标系统组件和漏洞库进行漏洞信息匹配,以获得目标系统可能存在的漏洞,以提高漏洞扫描效率;
第四步:采用Python动态加载函数的技术,利用插件形式提供不同类型的漏洞扫描工具集成,以提高漏洞识别准确率;
第五步:建立漏洞利用库,保存当前支持的漏洞利用信息,用于匹配模块进行漏洞利用信息查询,然后执行漏洞利用;
第六步:对利用结果进行保存,将多种不同的工具输出信息进行汇总;呈现在报告中,查看具体能够执行成功的漏洞。
2.一种漏洞自动化利用系统,其特征在于,应用如权利要求1所述的一种漏洞自动化利用方法,其包括主控制台、协控制台、信息收集结果表、漏洞扫描模块、漏洞扫描插件、漏洞库、漏洞利用库、报表生成器;
所述主控制台,用于负责提供对整体框架的输入和输出,并且能够协调其余模块间的数据传输,统一调度各模块间的工作任务;
所述协控制台,用于负责控制各个执行模块的执行参数和结果输出,该模块提供了一个桥梁的作用,用于连接住控制台与各个模块之间的信息输入与输出;
通过主控制台与协控制台的分离可以在业务逻辑上对系统进行拆分,便于后期由于工作的需要进行分布式改造;
所述信息收集结果表为渗透测试前期信息收集模块自动收集信息的结果表,通过设计信息收集结果表能够提高漏洞扫描的程序扫描范围的精度,使扫描结果覆盖更加完整;
所述漏洞扫描模块,通过收集到的信息对目标系统组件和漏洞库进行漏洞信息匹配,提高漏洞扫描效率,该模块采用特征信息数据库保存了远程系统可能存在的各类隐患和漏洞信息,通过获取远程系统的特征与数据库中的数据进行匹配以获得目标系统可能存在的漏洞;
所述漏洞扫描插件为漏洞扫描插件模块,通过采用Python动态加载函数的技术,为漏洞扫描模块通过插件形式提供不同类型的漏洞扫描工具集成;
所述漏洞库为漏洞扫描模块中的漏洞信息查询库,包括CVE、CNVD等公开漏洞库的信息,为扫描器提供漏洞信息;
所述漏洞利用库,保存了当前框架中支持的漏洞利用信息,用于匹配模块进行漏洞利用信息查询,同时存储了漏洞能够被用于获取信息、执行远程命令或者反弹shell的利用工具的集合,当匹配到相对应的漏洞的时候,能够尝试调用该漏洞利用库中的工具进行进一步的操作;
所述报表生成器为渗透测试结果报表生成工具,能够将多种不同的工具输出信息进行汇总,提高渗透测试信息的覆盖程度,按照指定的格式进行数据梳理和格式化,定制输出不同的格式。
3.如权利要求2所述的一种漏洞自动化利用系统,其特征在于,所述漏洞扫描插件,用于检测目标系统存在的漏洞,其包括用于检测某个文件中是否存在漏洞,用于检测某个目录中是否存在漏洞,用于检测某个参数中是否存在漏洞,在爬虫结束之后启动,直接使用爬虫的资源进行检测,用于检测比较常用的 Web 应用的漏洞。
4.如权利要求2所述的一种漏洞自动化利用系统,其特征在于,还包括:信息收集插件及接口、信息库、工具库;
所述信息收集插件及接口为信息收集模块的插件模块,能够通过标准化的接口与信息收集模块进行通信,以及采用插件的形式对信息收集工具进行扩展集成;
所述信息库能够对收集到的多方面信息进行汇总保存;
所述工具库为漏洞利用的工具库,其中包括各种漏洞利用工具,能够用于校验漏洞是否存在。
5.如权利要求2-4任一所述的一种漏洞自动化利用系统,其特征在于,还设有自主决策模块,该模块为渗透攻击决策模块,用于自动化的调度渗透攻击列表中的工具,以及分析返回结果确认是否进行下一次的漏洞利用行为;
该模块主要将渗透攻击列表的工具进行组织进行预定义,形成工具调用的工作流程模板,进行所有工具的调度,通过各个上一个工具反馈的不同信息在工作流程进行匹配下一步的操作。
一种漏洞自动化利用方法以及系统
技术领域
背景技术
发明内容
第一步:建立信息收集结果表,该表采用全局信息共享的形式,能够在整体的漏洞自动化检测利用过程中进行信息的获取,提高了信息重复利用率;
通过设计信息收集结果表能够提高漏洞扫描的程序扫描范围的精度,使扫描结果覆盖更加完整;
第二步:对目标系统进行全面的信息收集和可疑漏洞探测,形成初步的渗透测试攻击面结果;
第三步:建立漏洞库,对攻击面进行漏洞库匹配,执行匹配到的漏洞;
所述漏洞库保存各类隐患和漏洞信息;通过收集到的信息对目标系统组件和漏洞库进行漏洞信息匹配,以获得目标系统可能存在的漏洞,以提高漏洞扫描效率;
第四步:采用Python动态加载函数的技术,利用插件形式提供不同类型的漏洞扫描工具集成,以提高漏洞识别准确率;
第五步:建立漏洞利用库,保存当前支持的漏洞利用信息,用于匹配模块进行漏洞利用信息查询,然后执行漏洞利用;
第六步:对利用结果进行保存,将多种不同的工具输出信息进行汇总;呈现在报告中,查看具体能够执行成功的漏洞。
所述协控制台,用于负责控制各个执行模块的执行参数和结果输出,该模块提供了一个桥梁的作用,用于连接住控制台与各个模块之间的信息输入与输出;
通过主控制台与协控制台的分离可以在业务逻辑上对系统进行拆分,便于后期由于工作的需要进行分布式改造;
所述信息收集结果表为渗透测试前期信息收集模块自动收集信息的结果表,通过设计信息收集结果表能够提高漏洞扫描的程序扫描范围的精度,使扫描结果覆盖更加完整;
所述漏洞扫描模块,通过收集到的信息对目标系统组件和漏洞库进行漏洞信息匹配,提高漏洞扫描效率,该模块采用特征信息数据库保存了远程系统可能存在的各类隐患和漏洞信息,通过获取远程系统的特征与数据库中的数据进行匹配以获得目标系统可能存在的漏洞;采用特征匹配的模式,可以提高匹配效率,降低对目标系统的扫描压力。
所述漏洞利用库,保存了当前框架中支持的漏洞利用信息,用于匹配模块进行漏洞利用信息查询,同时存储了漏洞能够被用于获取信息、执行远程命令或者反弹shell的利用工具的集合,当匹配到相对应的漏洞的时候,能够尝试调用该漏洞利用库中的工具进行进一步的操作;漏洞扫描插件模块确认漏洞存在以后通过该模块对目标漏洞进行尝试利用。
插件化的设计保证了该模块高度的灵活性与可扩展性,同时提高了后期该模块在并行化集成过程中的效率。
附图说明
具体实施方式
通过设计信息收集结果表能够提高漏洞扫描的程序扫描范围的精度,使扫描结果覆盖更加完整;
第二步:对目标系统进行全面的信息收集和可疑漏洞探测,形成初步的渗透测试攻击面结果;
第三步:建立漏洞库,对攻击面进行漏洞库匹配,执行匹配到的漏洞;
所述漏洞库保存各类隐患和漏洞信息;通过收集到的信息对目标系统组件和漏洞库进行漏洞信息匹配,以获得目标系统可能存在的漏洞,以提高漏洞扫描效率;
第四步:采用Python动态加载函数的技术,利用插件形式提供不同类型的漏洞扫描工具集成,以提高漏洞识别准确率;
第五步:建立漏洞利用库,保存当前支持的漏洞利用信息,用于匹配模块进行漏洞利用信息查询,然后执行漏洞利用;
第六步:对利用结果进行保存,将多种不同的工具输出信息进行汇总;呈现在报告中,查看具体能够执行成功的漏洞。
所述信息收集结果表为渗透测试前期信息收集模块自动收集信息的结果表,通过设计信息收集结果表能够提高漏洞扫描的程序扫描范围的精度,使扫描结果覆盖更加完整;
所述漏洞扫描模块,通过收集到的信息对目标系统组件和漏洞库进行漏洞信息匹配,提高漏洞扫描效率,该模块采用特征信息数据库保存了远程系统可能存在的各类隐患和漏洞信息,通过获取远程系统的特征与数据库中的数据进行匹配以获得目标系统可能存在的漏洞;采用特征匹配的模式,可以提高匹配效率,降低对目标系统的扫描压力。
所述漏洞利用库,保存了当前框架中支持的漏洞利用信息,用于匹配模块进行漏洞利用信息查询,同时存储了漏洞能够被用于获取信息、执行远程命令或者反弹shell的利用工具的集合,当匹配到相对应的漏洞的时候,能够尝试调用该漏洞利用库中的工具进行进一步的操作;漏洞扫描插件模块确认漏洞存在以后通过该模块对目标漏洞进行尝试利用。
插件化的设计保证了该模块高度的灵活性与可扩展性,同时提高了后期该模块在并行化集成过程中的效率。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 一种实现号码安全和隐私保护的方法 | 2020-05-12 | 471 |
| 电子式针灸取穴精度评判仪 | 2020-05-11 | 68 |
| 一种淋浴中跌倒的快速检测方法及系统 | 2020-05-12 | 271 |
| 基于虚拟现实及多模态信息的孤独症辅助干预系统及方法 | 2020-05-13 | 492 |
| 联合多种情景模式的自适应定位方法 | 2020-05-08 | 23 |
| 用于输出关于交通工具的物体的信息的方法、系统和汽车 | 2020-05-08 | 381 |
| 一种BRCA1/2基因变异的解读方法 | 2020-05-12 | 653 |
| 基于区块链的智慧小区设备监控系统及密钥管理方法 | 2020-05-12 | 161 |
| 技能服务招投标系统 | 2020-05-08 | 396 |
| 一种应用于电力公司的调控智能网络化交互系统 | 2020-05-12 | 291 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
