【摘要】 一种用于WEB系统的自动化渗透性测试系统,设有三个层次:提供与用户交互界面GUI的表示层,作为系统的控制核心、执行扫描、检测程序的运行及相关功能的逻辑层,用于存储、维护各种扫描规则和任务执行过程中的配置信息的数据层。本发明系统能根据用户在GUI表示层设置的WEB扫描任务对WEB网站自动进行渗透扫描或常规扫描,结合相应的插件对扫描结果进行分析,找出该WEB网站可能存在的安全问题,然后生成检测报告来通报已经形成的综合风险列表。本发明用于对WEB网站自动进行安全测试,能够取代目前基于人工的安全性测试与渗透性测试,大大降低目前在软件研发中对软件安全测试所投入的成本,还可大大提高安全测试的准确性。 【专利类型】发明授权 【申请人】北京邮电大学 【申请人类型】学校 【申请人地址】100876 北京市海淀区西土城路10号 【申请人地区】中国 【申请人城市】北京市 【申请人区县】海淀区 【申请号】CN200810101530.X 【申请日】2008-03-07 【申请年份】2008 【公开公告号】CN101242279B 【公开公告日】2010-06-16 【公开公告年份】2010 【授权公告号】CN101242279B 【授权公告日】2010-06-16 【授权公告年份】2010.0 【IPC分类号】H04L9/36; G06F17/30 【发明人】张淼; 徐国爱; 王建; 杨义先 【主权项内容】一种用于WEB系统的自动化渗透性测试系统,其特征在于:该系统根据用户在图形用户界面GUI表示层设置的WEB扫描任务对WEB网站自动进行渗透扫描或常规扫描,并结合相应的插件对扫描结果进行分析,找出该WEB网站存在的安全问题,然后生成检测报告;该系统结构有三个层次:GUI表示层,逻辑层,数据层,其中:GUI表示层,用于提供与用户交互的GUI界面,包含:浏览器、任务配置模块、报告与结果显示模块和状态及进度显示模块;逻辑层,作为该系统的控制核心,负责执行扫描、检测程序的运行及相关功能,配置的八个软件模块以扫描调度模块为中心,其余七个模块是:包构造器模块、预扫描模块、链接分析模块、浏览器代理模块、渗透扫描模块、常规扫描模块和用于插接扫描插件的插件接口模块;所述各个软件模块的功能及其相互之间的信息传递关系是:扫描调度模块,作为该系统的关键模块和控制中心,用于统一调度该系统各模块的运行和彼此协作,以使该系统能够自动完成扫描和检测的各项任务;包构造器模块,负责构造符合任务和规则要求的检测数据包,获取网站响应后,将满足设定特征的应答存储起来,供其他模块调用;预扫描模块,负责在正式扫描目的网站之前,先进行一次肯定返回错误应答的扫描,以便根据返回的错误应答的不同情况,增强渗透扫描模块进行的扫描探测的精确性,发现和确认安全漏洞,并防止因页面跳转而产生误报;链接分析模块,负责根据设定任务,采用类似自动抓取内容的机器人Spider技术对目的网站进行全站检索,根据正则匹配识别站内链接和外部链接,并访问对应站内链接所指向的页面,不断循环执行该过程,直至达到扫描探测深度或不再有新的页面出现;浏览器代理模块,用于调用本地浏览器,以供用户与目标网站进行交互;同时通过自身代理,记录用户的登陆信息,为以后进行渗透扫描和查询对应的扫描规则备用;常规扫描模块,用于执行常规扫描检测,即向目标网站发送由包构造器构造好的探测包,再将获取的应答信息与常规扫描规则库的规则进行匹配;渗透扫描模块,负责进行渗透扫描探测:分析网页的超文本标记语言HTML注入点,并尝试向这些注入点提交渗透探测数据包,再以预扫描模块获取的默认出错页面为标准,确定是否存在注入漏洞,并以设定脚本返回检测结果,告知是否存在跨站点脚本攻击XSS漏洞,实现自动探测;如此循环轮询各个网页,直至对所有规则都完成扫描探测后,生成扫描报告,发给报告与结果显示模块;插件接口模块,用于接插有新的扫描功能或程序的插件,以扩充系统的扫描检测功能;数据层,用于存储、维护各种扫描规则和任务执行过程中的配置信息,设有下述三个库:常规扫描规则库、渗透扫描规则库、任务信息与临时数据库。 【当前权利人】北京邮电大学 【当前专利权人地址】北京市海淀区西土城路10号 【专利权人类型】公立 【统一社会信用代码】12100000400009952C 【被引证次数】3 【被他引次数】3.0 【家族被引证次数】95
