CN107239401A - 一种面向web攻击测试的收集被测***基本信息的自动化方法 - Google Patents
一种面向web攻击测试的收集被测***基本信息的自动化方法 Download PDFInfo
- Publication number
- CN107239401A CN107239401A CN201710434400.7A CN201710434400A CN107239401A CN 107239401 A CN107239401 A CN 107239401A CN 201710434400 A CN201710434400 A CN 201710434400A CN 107239401 A CN107239401 A CN 107239401A
- Authority
- CN
- China
- Prior art keywords
- instrument
- output
- sut
- shell scripts
- collection system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012360 testing method Methods 0.000 title claims abstract description 51
- 238000013515 script Methods 0.000 claims abstract description 33
- 238000000034 method Methods 0.000 claims abstract description 30
- 230000007613 environmental effect Effects 0.000 claims description 9
- 238000005538 encapsulation Methods 0.000 claims description 6
- 230000002708 enhancing effect Effects 0.000 abstract description 2
- 239000002699 waste material Substances 0.000 abstract description 2
- 238000011156 evaluation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
- G06F11/3688—Test management for test execution, e.g. scheduling of test suites
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
- G06F11/3684—Test management for test design, e.g. generating new test cases
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种面向web攻击测试的收集被测***基本信息的自动化方法,具体包括以下步骤:1)、采用shell粘合不同测试内容的工具,主shell脚本调用不同工具的shell脚本;2)、分别自动生成不同工具输出文件和日志文件;3)、根据输出文件和日志文件提取工具输出中的关注点信息或基于工具输出生成关注点信息;4)、根据关注点信息自动生成综合报告;5)、以所测产品的名称为参数调用主shell脚本。本发明采用shell脚本粘合不同测试内容的工具,能够减少测试过程的时间浪费,提高报告分析的时间占比,从而改善智力资源分配方式并提高效率。与商用的自动化软件相比,功能增强更容易,新工具支持更快捷。
Description
技术领域
本发明涉及网络安全技术领域,具体地说是一种面向web攻击测试的收集被测***基本信息的自动化方法。
背景技术
在网络安全领域,web攻击测试往往要组合使用大量的面向不同测试内容的工具。对用到的这些工具的输出的汇总整理及交叉分析,一般都要手动完成;并且测试过程要来回切换图形界面或键入命令行命令。也有一些商用软件提供了自动化执行的功能,并且使用了GUI层、逻辑层和数据库层的分层架构。确实给攻击测试人员带来了很大的便利;但也带来了扩展较困难的问题,例如对不断推出的新工具的及时支持上。
发明内容
本发明的目的在于提供一种面向web攻击测试的收集被测***基本信息的自动化方法,降低了对资深安全测评人员的智力资源占用,提高了攻击测试的效率,还实现了攻击过程的无人值守。
本发明解决其技术问题所采取的技术方案是:一种面向web攻击测试的收集被测***基本信息的自动化方法,其特征是,具体包括以下步骤:
1)、采用shell粘合不同测试内容的工具,主shell脚本调用不同工具的shell脚本;
2)、分别自动生成不同工具输出文件和日志文件;
3)、根据输出文件和日志文件提取工具输出中的关注点信息或基于工具输出生成关注点信息;
4)、根据关注点信息自动生成综合报告;
5)、以所测产品的名称为参数调用主shell脚本。
进一步地,步骤1)操作的具体实现过程包括:
11)、将不同测试内容的工具封装成shell脚本;
12)、在主shell脚本中将公共的输出文件目录设置为环境变量;
13)、依次调用封装工具的shell脚本;
14)、通过命令行命令传入参数。
进一步地,不同测试内容的工具包括同一工具的不同命令行选项组合和不同的工具。
进一步地,步骤12)操作中公共的输出文件目录设置为环境变量的方法具体包括:
121)、在主shell脚本定义OUT_PATH变量,保证目录确实存在;
122)、将OUT_PATH设置为环境变量;
123)、在包含Linux命令行界面下启动工具的命令行命令的shell文件中使用OUT_OATH作为输出目录的一部分,从而达到共享输出目录的目的。
进一步地,步骤13)操作中调用封装工具的shell脚本采用sh命令。
进一步地,步骤2)操作中输出文件记录每个工具的输出;日志文件记录所有工具的执行过程。
进一步地,步骤3)操作中关注点信息为匹配到的带关键字的行;
关注点信息的提取方法为:通过grep关键字,匹配到安全测试工具的输出关键字。
本发明的有益效果是:
本发明采用shell脚本语言粘合面向不同测试内容的工具,并记录脚本执行过程及脚本的输出结果,通过shell命令提取工具输出中的关注点信息或基于工具输出生成关注点信息,最后将关注点信息梳理成综合报告。
通过shell脚本构建自动化执行和报告流程,能够显著减少安全测评人员在测试中间过程上的时间消耗,增加投入到结果分析和后续策略上的精力。同时也积累下了安全测评的知识库建设经验。
本发明采用shell脚本粘合不同测试内容的工具,能够减少测试过程的时间浪费,提高报告分析的时间占比,从而改善智力资源分配方式并提高效率。与商用的自动化软件相比,功能增强更容易,新工具支持更快捷。
附图说明
图1为本发明的方法流程图。
具体实施方式
为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
如图1所示,一种面向web攻击测试的收集被测***基本信息的自动化方法,将在Linux命令行界面下启动不同工具的命令行命令(含参数)分别写入不同的shell文件中,然后将执行这些shell文件的命令行命令依次写入另一个shell文件(主控文件)中。这样,可以保证不同的工具按设计的次序依次被启动和执行。
具体包括以下步骤:
1)、采用shell粘合不同测试内容的工具,主shell脚本调用不同工具的shell脚本;
2)、分别自动生成不同工具输出文件和日志文件;
3)、根据输出文件和日志文件提取工具输出中的关注点信息或基于工具输出生成关注点信息;
4)、根据关注点信息自动生成综合报告;
5)、以所测产品的名称为参数调用主shell脚本。
在Linux命令行界面上以“sh –x XXX.sh P1 P2…”的形式执行主控shell脚本。
步骤1)操作的具体实现过程包括:
11)、将不同测试内容的工具封装成shell脚本;
12)、在主shell脚本中将公共的输出文件目录设置为环境变量;
13)、依次调用封装工具的shell脚本;
14)、通过命令行命令传入参数。
不同的工具需要传入不同的参数,如传入IP地址为:
sh -x nmap.sh 100.2.92.117中的100.2.92.117
sh -x whatweb.sh https://100.2.92.117:8443中的https://100.2.92.117:8443。
不同测试内容的工具包括同一工具的不同命令行选项组合和不同的工具。
步骤12)操作中公共的输出文件目录设置为环境变量的方法具体包括:
121)、在主shell脚本定义OUT_PATH变量,保证目录确实存在;
122)、将OUT_PATH设置为环境变量;
123)、在包含Linux命令行界面下启动工具的命令行命令的shell文件中使用OUT_OATH作为输出目录的一部分,从而达到共享输出目录的目的。
具体的程序脚本可以为:
OUT_PATH="${base_dir}/${datetime}/${product_line}/"
mkdir-p${OUT_PATH}
export OUT_PATH
#/bin/sh
targetIP=$1
nmap -n -Pn -A -p1-65535 -oN ${OUT_PATH}_${targetIP}.txt${targetIP}
步骤13)操作中调用封装工具的shell脚本采用sh命令。
如调用nmap工具和whatweb工具为:
sh -x nmap.sh 100.2.92.117>nmap.log 2>&1
sh -x whatweb.sh https://100.2.92.117:8443>whatweb.log 2>&1
步骤2)操作中输出文件记录每个工具的输出;日志文件记录所有工具的执行过程。
步骤3)操作中关注点信息为匹配到的带关键字的行;
关注点信息的提取方法为:通过grep关键字,匹配到安全测试工具的输出关键字。如:grep'Summary'whatweb*.txt。
本发明的工具及其版本可以包括nmap 7.01、whatweb 0.4.8-dev、sslscan1.10.5-static/openssl 1.0.2e-dev、ipmitool、snmpwalk 5.7.2.1、rpcinfo、showmount1.2.8、smbclient 4.2.10-Debian。
以上所述只是本发明的优选实施方式,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也被视为本发明的保护范围。
Claims (7)
1.一种面向web攻击测试的收集被测***基本信息的自动化方法,其特征是,具体包括以下步骤:
1)、采用shell粘合不同测试内容的工具,主shell脚本调用不同工具的shell脚本;
2)、分别自动生成不同工具输出文件和日志文件;
3)、根据输出文件和日志文件提取工具输出中的关注点信息或基于工具输出生成关注点信息;
4)、根据关注点信息自动生成综合报告;
5)、以所测产品的名称为参数调用主shell脚本。
2.根据权利要求1所述的一种面向web攻击测试的收集被测***基本信息的自动化方法,其特征是,步骤1)操作的具体实现过程包括:
11)、将不同测试内容的工具封装成shell脚本;
12)、在主shell脚本中将公共的输出文件目录设置为环境变量;
13)、依次调用封装工具的shell脚本;
14)、通过命令行命令传入参数。
3.根据权利要求2所述的一种面向web攻击测试的收集被测***基本信息的自动化方法,其特征是,不同测试内容的工具包括同一工具的不同命令行选项组合和不同的工具。
4.根据权利要求2所述的一种面向web攻击测试的收集被测***基本信息的自动化方法,其特征是,步骤12)操作中公共的输出文件目录设置为环境变量的方法具体包括:
121)、在主shell脚本定义OUT_PATH变量,保证目录确实存在;
122)、将OUT_PATH设置为环境变量;
123)、在包含Linux命令行界面下启动工具的命令行命令的shell文件中使用OUT_OATH作为输出目录的一部分,从而达到共享输出目录的目的。
5.根据权利要求3所述的一种面向web攻击测试的收集被测***基本信息的自动化方法,其特征是,步骤13)操作中调用封装工具的shell脚本采用sh命令。
6.根据权利要求1所述的一种面向web攻击测试的收集被测***基本信息的自动化方法,其特征是,步骤2)操作中输出文件记录每个工具的输出;日志文件记录所有工具的执行过程。
7.根据权利要求1所述的一种面向web攻击测试的收集被测***基本信息的自动化方法,其特征是,步骤3)操作中关注点信息为匹配到的带关键字的行;
关注点信息的提取方法为:通过grep关键字,匹配到安全测试工具的输出关键字。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710434400.7A CN107239401B (zh) | 2017-06-09 | 2017-06-09 | 一种面向web攻击测试的收集被测***基本信息的自动化方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710434400.7A CN107239401B (zh) | 2017-06-09 | 2017-06-09 | 一种面向web攻击测试的收集被测***基本信息的自动化方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107239401A true CN107239401A (zh) | 2017-10-10 |
CN107239401B CN107239401B (zh) | 2020-09-22 |
Family
ID=59986089
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710434400.7A Active CN107239401B (zh) | 2017-06-09 | 2017-06-09 | 一种面向web攻击测试的收集被测***基本信息的自动化方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107239401B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101212362A (zh) * | 2006-12-26 | 2008-07-02 | 中兴通讯股份有限公司 | 一种融合多类型测试工具的自动化测试装置及方法 |
CN103412815A (zh) * | 2013-08-12 | 2013-11-27 | 浪潮电子信息产业股份有限公司 | 一种主要基于expect工具的RMC软件的自动化测试的方法 |
US20150261517A1 (en) * | 2012-06-29 | 2015-09-17 | Emc Corporation | Environment-driven application deployment in a virtual infrastructure |
CN106649003A (zh) * | 2016-09-21 | 2017-05-10 | 郑州云海信息技术有限公司 | 一种基于netperf自动化测试网卡性能的方法 |
-
2017
- 2017-06-09 CN CN201710434400.7A patent/CN107239401B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101212362A (zh) * | 2006-12-26 | 2008-07-02 | 中兴通讯股份有限公司 | 一种融合多类型测试工具的自动化测试装置及方法 |
US20150261517A1 (en) * | 2012-06-29 | 2015-09-17 | Emc Corporation | Environment-driven application deployment in a virtual infrastructure |
CN103412815A (zh) * | 2013-08-12 | 2013-11-27 | 浪潮电子信息产业股份有限公司 | 一种主要基于expect工具的RMC软件的自动化测试的方法 |
CN106649003A (zh) * | 2016-09-21 | 2017-05-10 | 郑州云海信息技术有限公司 | 一种基于netperf自动化测试网卡性能的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN107239401B (zh) | 2020-09-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106528418B (zh) | 一种测试方法及装置 | |
US11176030B2 (en) | Conducting automated software testing using centralized controller and distributed test host servers | |
US20090199096A1 (en) | Automated gui test recording/playback | |
US8108234B2 (en) | System and method for deriving business processes | |
US10223248B2 (en) | Conducting automated software testing using centralized controller and distributed test host servers | |
CN106874207A (zh) | 一种web页面的自动化测试方法及装置 | |
CN105701009B (zh) | 移动终端中的安全性应用测试方法 | |
CN107368313A (zh) | 代码检测方法、装置及电子设备 | |
CN111130922A (zh) | 一种机载信息安全自动化测试方法及测试平台 | |
CN106534242A (zh) | 一种分布式***中请求的处理方法以及装置 | |
CN107133175A (zh) | 一种基于云计算的软件测试平台 | |
CN108647147A (zh) | 一种利用图谱分析执行自动化测试机器人及其使用方法 | |
Wieczorek et al. | Improving testing of enterprise systems by model-based testing on graphical user interfaces | |
CN110221816A (zh) | 基于算法平台的算法运行方法、装置、介质及算法平台 | |
CN107509072B (zh) | 一种自动记忆测试路径的自动化测试方法 | |
Leno et al. | Robidium: Automated Synthesis of Robotic Process Automation Scripts from UI Logs. | |
CN113961570A (zh) | 一种应用于MYSQL BINLog变更数据的实时采集方法 | |
CN107832176A (zh) | 一种Windows下硬盘压力自动测试方法及*** | |
CN107239401A (zh) | 一种面向web攻击测试的收集被测***基本信息的自动化方法 | |
CN113656109A (zh) | 安全控件调用方法、装置、设备及存储介质 | |
KR20200018966A (ko) | 사이버 위협 정보 처리 방법 및 장치 | |
CN109741780A (zh) | 一种基于Linux***测试SSD性能的方法及其*** | |
CN102647419B (zh) | 面向终端计算机的策略安全在线检查*** | |
Motan et al. | Android app testing: A model for generating automated lifecycle tests | |
CN114090011A (zh) | 一种方便开发者使用的软件开发方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20200825 Address after: 215100 No. 1 Guanpu Road, Guoxiang Street, Wuzhong Economic Development Zone, Suzhou City, Jiangsu Province Applicant after: SUZHOU LANGCHAO INTELLIGENT TECHNOLOGY Co.,Ltd. Address before: 450018 Henan province Zheng Dong New District of Zhengzhou City Xinyi Road No. 278 16 floor room 1601 Applicant before: ZHENGZHOU YUNHAI INFORMATION TECHNOLOGY Co.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |