用于WEB系统的自动化渗透性测试系统和方法.pdfVIP

(19)中华人民共和国国家知识产权局

(12)发明专利说明书

(10)申请公布号CN101242279A

(43)申请公布日2008.08.13

(21)申请号CN200810101530.X

(22)申请日2008.03.07

(71)申请人北京邮电大学

地址100876北京市海淀区西土城路10号

(72)发明人张淼徐国爱王建杨义先

(74)专利代理机构北京德琦知识产权代理有限公司

代理人夏宪富

(51)Int.CI

H04L9/36

G06F17/30

权利要求说明书说明书幅图

(54)发明名称

用于WEB系统的自动化渗透性测

试系统和方法

(57)摘要

一种用于WEB系统的自动化渗透

性测试系统，设有三个层次：提供与用户

交互界面GUI的表示层，作为系统的控制

核心、执行扫描、检测程序的运行及相关

功能的逻辑层，用于存储、维护各种扫描

规则和任务执行过程中的配置信息的数据

层。本发明系统能根据用户在GUI表示层

设置的WEB扫描任务对WEB网站自动进

行渗透扫描或常规扫描，结合相应的插件

对扫描结果进行分析，找出该WEB网站

可能存在的安全问题，然后生成检测报告

来通报已经形成的综合风险列表。本发明

用于对WEB网站自动进行安全测试，能

够取代目前基于人工的安全性测试与渗透

性测试，大大降低目前在软件研发中对软

件安全测试所投入的成本，还可大大提高

安全测试的准确性。

法律状态

法律状态公告日法律状态信息法律状态

权利要求说明书

1、一种用于WEB系统的自动化渗透性测试系统，其特征在于：该系统根据用户

在图形用户界面GUI表示层设置的WEB扫描任务对WEB网站自动进行渗透扫描

或常规扫描，并结合相应的插件对扫描结果进行分析，找出该WEB网站存在的安

全问题，然后生成检测报告；该系统结构有三个层次：GUI表示层，逻辑层，数据

层，其中：

GUI表示层，用于提供与用户交互的GUI界面，包含：浏览器、任务配置模块、

报告与结果显示模块、状态及进度显示模块；

逻辑层，作为该系统的控制核心，负责执行扫描、检测程序的运行及相关功能，配

置的八个软件模块以扫描调度模块为中心，其余七个模块是：包构造器模块、预扫

描模块、链接分析模块、浏览器代理模块、渗透扫描模块、常规扫描模块、用于插

接扫描插件的插件接口；

数据层，用于存储、维护各种扫描规则和任务执行过程中的配置信息，设有：常规

扫描规则库、渗透扫描规则库、任务信息与临时数据库。

2、根据权利要求1所述的自动化渗透性测试系统，其特征在于：所述逻辑层中的

各模块的功能及其相互之间的信息传递关系是：

扫描调度模块，作为该系统的关键模块和控制中心，用于统一调度该系统各模块的

运行和彼此协作，以使该系统能够自动完成扫描、检测的各项任务；

包构造器模块，负责构造符合任务和规则要求的检测数据包，获取网站响应后，将

满足设定特征的应答存储起来，供其他模块调用；

预扫描模块，负责在正式扫描目的网站之前，先进行一次肯定返回错误应答的扫描，

以便根据返回的错误应答的不同情况，增强渗透扫描模块进行的扫描探测的精确性，

发现和确认安全漏洞，并防止因页面跳转而产生误报；

链接分析模块，负责根据设定任务，采用类似自动抓取内容的机器人Spider技术

对目的网站进行全站检索，根据正则匹配识别站内链接和外部链接，并访问对应站

内链接所指向的页面，不断循环执行该过程，直至达到扫描探测深度或不再有新的

页面出现；

浏览器代理模块，用于调用本地浏览器，以供用户与目标网站进行交互；同时通过

自身代理，记录用户的登陆信息，为以后进行渗透扫描和查询对应的扫描规则备用；

常规扫描模块，用于执行常规扫描检测，即向目标网站发送由包构造器构造好的探

测包，再将获取的应答信息与常规扫描规则库的规则进行匹配；

渗透扫描模块，