- 1、本文档共22页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
(19)中华人民共和国国家知识产权局
(12)发明专利说明书
(10)申请公布号CN101242279A
(43)申请公布日2008.08.13
(21)申请号CN200810101530.X
(22)申请日2008.03.07
(71)申请人北京邮电大学
地址100876北京市海淀区西土城路10号
(72)发明人张淼徐国爱王建杨义先
(74)专利代理机构北京德琦知识产权代理有限公司
代理人夏宪富
(51)Int.CI
H04L9/36
G06F17/30
权利要求说明书说明书幅图
(54)发明名称
用于WEB系统的自动化渗透性测
试系统和方法
(57)摘要
一种用于WEB系统的自动化渗透
性测试系统,设有三个层次:提供与用户
交互界面GUI的表示层,作为系统的控制
核心、执行扫描、检测程序的运行及相关
功能的逻辑层,用于存储、维护各种扫描
规则和任务执行过程中的配置信息的数据
层。本发明系统能根据用户在GUI表示层
设置的WEB扫描任务对WEB网站自动进
行渗透扫描或常规扫描,结合相应的插件
对扫描结果进行分析,找出该WEB网站
可能存在的安全问题,然后生成检测报告
来通报已经形成的综合风险列表。本发明
用于对WEB网站自动进行安全测试,能
够取代目前基于人工的安全性测试与渗透
性测试,大大降低目前在软件研发中对软
件安全测试所投入的成本,还可大大提高
安全测试的准确性。
法律状态
法律状态公告日法律状态信息法律状态
权利要求说明书
1、一种用于WEB系统的自动化渗透性测试系统,其特征在于:该系统根据用户
在图形用户界面GUI表示层设置的WEB扫描任务对WEB网站自动进行渗透扫描
或常规扫描,并结合相应的插件对扫描结果进行分析,找出该WEB网站存在的安
全问题,然后生成检测报告;该系统结构有三个层次:GUI表示层,逻辑层,数据
层,其中:
GUI表示层,用于提供与用户交互的GUI界面,包含:浏览器、任务配置模块、
报告与结果显示模块、状态及进度显示模块;
逻辑层,作为该系统的控制核心,负责执行扫描、检测程序的运行及相关功能,配
置的八个软件模块以扫描调度模块为中心,其余七个模块是:包构造器模块、预扫
描模块、链接分析模块、浏览器代理模块、渗透扫描模块、常规扫描模块、用于插
接扫描插件的插件接口;
数据层,用于存储、维护各种扫描规则和任务执行过程中的配置信息,设有:常规
扫描规则库、渗透扫描规则库、任务信息与临时数据库。
2、根据权利要求1所述的自动化渗透性测试系统,其特征在于:所述逻辑层中的
各模块的功能及其相互之间的信息传递关系是:
扫描调度模块,作为该系统的关键模块和控制中心,用于统一调度该系统各模块的
运行和彼此协作,以使该系统能够自动完成扫描、检测的各项任务;
包构造器模块,负责构造符合任务和规则要求的检测数据包,获取网站响应后,将
满足设定特征的应答存储起来,供其他模块调用;
预扫描模块,负责在正式扫描目的网站之前,先进行一次肯定返回错误应答的扫描,
以便根据返回的错误应答的不同情况,增强渗透扫描模块进行的扫描探测的精确性,
发现和确认安全漏洞,并防止因页面跳转而产生误报;
链接分析模块,负责根据设定任务,采用类似自动抓取内容的机器人Spider技术
对目的网站进行全站检索,根据正则匹配识别站内链接和外部链接,并访问对应站
内链接所指向的页面,不断循环执行该过程,直至达到扫描探测深度或不再有新的
页面出现;
浏览器代理模块,用于调用本地浏览器,以供用户与目标网站进行交互;同时通过
自身代理,记录用户的登陆信息,为以后进行渗透扫描和查询对应的扫描规则备用;
常规扫描模块,用于执行常规扫描检测,即向目标网站发送由包构造器构造好的探
测包,再将获取的应答信息与常规扫描规则库的规则进行匹配;
渗透扫描模块,
您可能关注的文档
- 电动助力车驱动轮毂.pdf
- 由殷国元受贿一案看“反腐新规”.pdf
- 用于治疗IL-18介导疾病的重组IL-18拮抗物.pdf
- 班组长选聘制度范文(3篇).pdf
- 独立学院教务管理系统安全现状分析及策略论文.pdf
- 物业突发事件处理流程.pdf
- 牛津上海版八年级下册 Unit 2 Water 教学设计.pdf
- 煤矿企业职业危害防治责任制度(5篇).pdf
- 湘教版数学九年级下册《小结练习(1)》教学设计3.pdf
- 国际标准 IEC 60534-4:2006 EN-FR 工业过程控制阀-第4部分:检查和例行测试 Industrial-process control valves - Part 4: Inspection and routine testing.pdf
文档评论(0)