CN107707561A - 渗透测试方法及装置 - Google Patents
渗透测试方法及装置 Download PDFInfo
- Publication number
- CN107707561A CN107707561A CN201711056066.2A CN201711056066A CN107707561A CN 107707561 A CN107707561 A CN 107707561A CN 201711056066 A CN201711056066 A CN 201711056066A CN 107707561 A CN107707561 A CN 107707561A
- Authority
- CN
- China
- Prior art keywords
- website
- pagefile
- priority
- sectional drawing
- targeted website
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供一种渗透测试方法及装置,应用于包括浏览器的电子终端。方法包括:对待测网站进行扫描,获得待测试的多个目标网站;通过所述浏览器并发地访问每个目标网站,并接收每个目标网站返回的页面文件;渲染并加载接收到的页面文件,对加载后的页面文件截图并保存获得的截图;解析得到加载后的页面文件的代码;根据截图及代码确定每个目标网站的优先级,并按照该优先级对每个目标网站进行渗透测试。如此,可以更加准确可靠地确定待测的目标网站的优先级,进而按照该优先级进行渗透测试。
Description
技术领域
本发明涉及计算机网络技术领域,具体而言,涉及一种渗透测试方法及装置。
背景技术
渗透测试(Penetration Test)是通过模拟恶意黑客的攻击方法来评估计算机网络***安全的一种评估方法。在渗透测试中,需要测试的目标通常不止一个域名或网站,而是许许多多与疑似有漏洞的待测网站相关的网站。虽然目前有许多Web漏洞扫描器可以用于进行渗透测试,但其测试效果往往不佳,因此,人工渗透测试仍旧是必不可少的。尤其是一些业务逻辑上的漏洞,Web漏洞扫描器通常难以扫描到。
然而,面对大量的待测试目标,在测试过程中如何确定各个待测试目标的优先级,从而按照该优先级进行测试,以提高测试效率,显得尤其重要。
发明内容
有鉴于此,本发明的目的在于提供一种渗透测试方法,应用于包括浏览器的电子终端,所述方法包括:
对待测网站进行扫描,获得待测试的多个目标网站;
通过所述浏览器并发地访问每个所述目标网站,并接收每个所述目标网站返回的页面文件;
渲染并加载接收到的页面文件,对加载后的页面文件截图并保存获得的截图;
获取与所述页面文件相关联的代码;
根据所述截图及所述代码确定每个所述目标网站的优先级,并按照所述优先级对每个所述目标网站进行渗透测试。
可选地,所述对待测网站进行扫描,获得待测试的多个目标网站的步骤,包括:
扫描待测网站的一级域名,获得该一级域名的多个子域名,并将每个子域名对应的网站作为所述目标网站;及
扫描待测网站的IP地址的C段和/或B段,获得与该待测网站相关的多个IP地址,并将每个IP地址对应的网站作为所述目标网站。
可选地,所述浏览器为无界面的浏览器。
可选地,所述方法还包括:
在渲染接收到的页面文件时,调用预设的脚本文件,对所述页面文件进行刷新,以显示完整的页面。
可选地,根据所述截图及所述代码确定每个所述目标网站的优先级的步骤,包括:
从所述代码中提取出页面标题、外部链接信息及报错信息;
根据所述截图、页面标题、外部链接及报错信息确定每个所述目标网站的优先级。
本发明的另一目的在于提供一种渗透测试装置,应用于包括浏览器的电子终端,所述装置包括:
扫描模块,用于对待测网站进行扫描,获得待测试的多个目标网站;
访问模块,用于通过所述浏览器并发地访问每个所述目标网站,并接收每个所述目标网站返回的页面文件;
加载模块,用于渲染并加载接收到的页面文件,对加载后的页面文件截图并保存获得的截图;
解析模块,用于获取与所述页面文件相关联的代码;
渗透测试模块,用于根据所述截图及所述代码确定每个所述目标网站的优先级,并按照所述优先级对每个所述目标网站进行渗透测试。
可选地,所述扫描模块包括:
第一扫描子模块,用于扫描待测网站的一级域名,获得该一级域名的多个子域名,并将每个子域名对应的网站作为所述目标网站;及
第二扫描子模块,用于扫描待测网站的IP地址的C段和/或B段,获得与该待测网站相关的多个IP地址,并将每个IP地址对应的网站作为所述目标网站。
可选地,所述浏览器为无界面的浏览器。
可选地,所述装置还包括:
刷新模块,用于在渲染接收到的页面文件时,调用预设的脚本文件,对所述页面文件进行刷新,以显示完整的页面。
可选地,所述渗透测试装置根据所述截图及所述代码确定每个所述目标网站的优先级的方式,包括:
从所述代码中提取出页面标题、外部链接信息及报错信息;
根据所述截图、页面标题、外部链接及报错信息确定每个所述目标网站的优先级。
相较于现有技术而言,本发明具有以下有益效果:
本发明实施例提供的渗透测试方法及装置,通过对待测网站进行扫描,获得待测试的多个目标网站。通过所述浏览器并发地访问每个目标网站,并接收每个目标网站返回的页面文件,渲染并加载接收到的页面文件,对加载后的页面文件截图并保存获得的截图。通过解析得到加载后的页面文件的代码,根据该截图及代码确定每个目标网站的优先级,并按照该优先级对每个目标网站进行渗透测试。如此,能够更加准确可靠地确定待测的目标网站的优先级,进而按照该优先级进行渗透测试。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例提供的一种电子终端的方框示意图;
图2为本发明实施例提供的一种渗透测试方法的流程示意图;
图3为图2所示步骤S150的子步骤示意图;
图4为本发明实施例提供的一种渗透测试装置的功能模块框图;
图5为图4所示扫描模块的子模块示意图。
图标:100-电子终端;110-存储器;120-处理器;200-渗透测试装置;210-扫描模块;211-第一扫描子模块;212-第二扫描子模块;220-访问模块;230-加载模块;240-解析模块;250-渗透测试模块;260-刷新模块;300-浏览器。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
发明人经过大量研究发现,现有的渗透测试过程中,渗透测试人员往往通过指纹识别来确定待测网站的类型。所谓指纹识别就是一些常用的开发框架会包括一些固定的文件或目录结构,当我们可以访问这些文件或目录时,就可以判定该待测网站使用了对应的开发框架,继而根据该待测网站是否使用了预设的框架来确定其测试优先级。
然而,网站指纹识别并不能识别所有网站的指纹。有一些需要测试的网站并没有使用特定的框架,这些网站在指纹识别的过程中就会被漏掉,导致测试不完整。
此外,现有做法中,还可以通过获取页面标题来确定网站类型,继而根据网站类型确定待测网站的优先级。针对这一方式,也存在许多问题。问题一,对于没有页面标题的网站,自然也就无法根据页面标题确定其优先级;问题二,页面中的许多资源都是通过客户端脚本(JavaScript)来加载的,在未经加载的页面文件中能够获取到的信息有限,无法准确地确定其所属网站的优先级。
因而,本发明实施例提供一种可以完整获取待测网站提供的页面文件内容,从而更加准确地确定各待测的目标网站的优先级。
如图1所示,是本发明实施例提供的一种电子终端100的方框示意图。
在本实施例中,所述电子终端100中安装有浏览器300,所述浏览器300用于加载待测试的目标网站返回的页面文件。因而,所述电子终端100可以是任意具有数据处理功能且能够安装浏览器的设备,例如,个人电脑(Personal Computer,PC)或其他的智能移动终端(如,智能手机、平板电脑等)。
所述电子终端100包括渗透测试装置200、存储器110以及处理器120。
其中,所述存储器110、处理器120及其他各元件之间直接或间接地电性连接,以实现数据的传输或交互。其中,所述存储器110中存储有可以在所述处理器120中运行的浏览器300。所述渗透测试装置300可以包括至少一个可以软件(software)或固件(firmware)的形式存储在所述存储器110中或固化在所述电子终端100的操作***(Operating System,OS)中的软件功能模块。
在本实施例中,所述存储器110可以是,但不限于,随机存取存储器(RandomAccess Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(Erasable ProgrammableRead-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable ProgrammableRead-Only Memory,EEPROM)等。
所述处理器120可以是一种集成电路芯片,具有信号处理能力。该处理器120也可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、分立门或晶体管逻辑器件、分立硬件组件。其中,通用处理器可以是微处理器或任何常规的处理器。
应当理解,图1所示的结构仅为示意,电子终端100还可以具有比图1所示更多或者更少的组件,或是具有与图1所示不同的配置。值得说明的是,图1所示的各组件可以通过软件、硬件或其组合实现。
如图2所示,是本发明实施例提供的一种渗透测试方法的流程示意图,所述渗透测试方法应用于图1所示的电子终端100。下面对所述渗透测试方法的具体流程及步骤做详细阐述。
步骤S110,对待测网站进行扫描,获得待测试的多个目标网站。
其中,所述待测网站是指已经预先确定的疑似有漏洞的网站,亦即需要进行测试的网站。在确定所述待测网站的情况下,需要进一步获得与所述待测网站相关联的网站作为待测试的目标网站。
在本实施例中,确定待测试的目标网站的方式可以有多种。
可选地,所述步骤S110可以包括如下子步骤:
扫描待测网站的一级域名,获得该一级域名的多个子域名,并将每个子域名对应的网站作为所述目标网站;
扫描待测网站的IP地址的C段和/或B段,获得与该待测网站相关的多个IP地址,并将每个IP地址对应的网站作为所述目标网站。
例如,假设待测网站的一级域名为example.com,该一级域名拥有多个子域名,比如,a.example.com、b.example.com、c.example.com等,这些网站都是需要测试的。假设待测网站的域名对应的IP地址是1.1.1.1,该IP地址的C段(1.1.1.0/24)及B段(1.1.1.0/16)中也可能存在与该待测网站相关的网站或服务,因而,需要进行扫描,以获得与所述待测网站相关的所有目标网站作为待测试的目标。
步骤S120,通过所述浏览器300并发地访问每个所述目标网站,并接收每个所述目标网站返回的页面文件。
在本实施例中,通过所述浏览器300批量地所确定的每个目标网站,也即同时访问每个所述目标网站,并接收每个所述目标网站返回的页面文件。
步骤S130,渲染并加载接收到的页面文件,对加载后的页面文件截图并保存获得的截图。
调用所述浏览器300的API(Application Programming Interface,应用程序编程接口),对接收到的页面文件进行渲染及加载。
可选地,在本实施例中,所述浏览器300可以是无界面的浏览器300,例如headlesschrome。如此,在对所述接收到的页面文件进行渲染及加载的过程中,所述浏览器300并不会显示加载后的页面文件,大大降低了资源消耗,提高了测试效率。
在加载出完整的页面文件,得到完整的页面内容后,调用所述浏览器300中的相应的截图指令即可对页面进行截图。例如,可以通过screenshot参数来获取页面截图。
此外,还可以通过自己编写的代码(如,Node.js)来控制所述浏览器300进行截图。
为了截取到完整的页面内容,还可以调用所述Headless Chrome的Emulation模块来控制页面视口缩放。
在实际应用中,有些网站提供的页面需要用户进行上下滚动等刷新操作才能显示完整,因而,所述渗透测试方法还可以包括如下步骤:
在渲染接收到的页面文件时,调用预设的脚本文件,对所述页面文件进行刷新,以显示完整的页面。
所述脚本文件可以是测试人员预先编写好的JavaScript脚本,用以实现对网页的上下滚动、翻页等操作。
步骤S140,获取与所述页面文件相关联的代码。
其中,与所述页面文件相关联的代码包括用于请求所述页面文件的网络请求以及目标网站返回的所述页面文件及所述页面文件加载后得到的页面内容所对应的代码。
步骤S150,根据所述截图及所述代码确定每个所述目标网站的优先级,并按照所述优先级对每个所述目标网站进行渗透测试。
在本实施例中,在获得所述截图及所述代码之后,按照预设的优先级确定规则,根据所述截图及所述代码确定所述目标网站的优先级,并先对优先级高的目标网站进行渗透测试。
详细地,如图3所示,所述步骤S150可以包括步骤S151及步骤S152两个子步骤。
步骤S151,从所述代码中提取出页面标题、外部链接信息及报错信息。
其中,页面标题即为目标网站返回的页面文件中包括的Title信息,外部链接信息是指目标网站返回的页面文件中携带的外部网站的链接。报错信息是指目标网站在访问或刷新过程中返回的错误码。
步骤S152,根据所述截图、页面标题、外部链接及报错信息确定每个所述目标网站的优先级。
作为一种实施方式,可以将包含有报错信息的页面文件对应的目标网站设定为最高优先级。为了便于描述,在本实施例中,将最高优先级约定为第一优先级,第二优先级为次于最高优先级的优先级,依次类推。
可以根据所述截图确定相应目标网站是否使用预设的框架或组件,若使用了所述预设的框架或组件,表明该网站可能是基于模板生成的,防御机制较差,因此可以将其设定在第二优先级。
还可以根据所述截图确定相应的目标网站的类型,例如,当确定某一目标网站是管理***时,表明其对防御机制的要求也比较高,可以将其设定为第三优先级。
当在所述代码检测到登录行为但该登录行为对应的登录信息中不包括验证码,则可以将相应的目标网站设定为第四优先级。
此外,当在所述代码中检测到大量的外部链接信息时,可以将相应的目标网站设定为第五优先级。
应当理解,上述优先级的设定规则仅为示例,实施时,可以根据实际情况或是测试人员的经验灵活地设定优先级的划分规则,本实施例对此不做限制。
如图4所示,是本发明实施例提供的一种渗透测试装置200的功能模块框图,所述渗透测试装置200应用于包括浏览器300的电子终端100。
所述渗透测试装置200包括扫描模块210、访问模块220、加载模块230、解析模块240以及渗透测试模块250。
其中,所述扫描模块210用于对待测网站进行扫描,获得待测试的多个目标网站。
在本实施例中,关于所述扫描模块210的描述具体可参考对图2所示的步骤S110的详细描述。也即,所述步骤S110可以由所述扫描模块210执行。
可选地,如图5所示,在本实施例中,所述扫描模块210可以包括第一扫描子模块和第二扫描子模块。
其中,所述第一扫描子模块用于扫描待测网站的一级域名,获得该一级域名的多个子域名,并将每个子域名对应的网站作为所述目标网站。
所述第二扫描子模块用于扫描待测网站的IP地址的C段和/或B段,获得与该待测网站相关的多个IP地址,并将每个IP地址对应的网站作为所述目标网站。
所述访问模块220用于通过所述浏览器300并发地访问每个所述目标网站,并接收每个所述目标网站返回的页面文件。
在本实施例中,关于所述访问模块220的描述具体可参考对图2所示步骤S120的详细描述,也即,所述步骤S120可以由所述访问模块220执行。
可选地,在本实施例中,所述浏览器300可以是无界面的浏览器。
所述加载模块230用于渲染并加载接收到的页面文件,对加载后的页面文件截图并保存获得的截图。
在本实施例中,关于所述加载模块230的描述具体可参考对图2所示的步骤S130的详细描述,也即,所述步骤S130可以由所述加载模块230执行。
所述解析模块240用于获取与所述页面文件相关联的代码。
在本实施例中,关于所述解析模块240的描述具体可参考对图2所示步骤S140的详细描述,也即,所述步骤S140可以由所述解析模块240执行。
所述渗透测试模块250用于根据所述截图及所述代码确定每个所述目标网站的优先级,并按照所述优先级对每个所述目标网站进行渗透测试。
在本实施例中,关于所述渗透测试模块250的描述具体可参考对图2所示步骤S150的详细描述,也即,所述步骤S150可以由所述渗透测试模块250执行。
可选地,在本实施例中,所述渗透测试模块250根据所述截图及所述代码确定每个所述目标网站的优先级的方式,可以包括:
从所述代码中提取出页面标题、外部链接信息及报错信息;
根据所述截图、页面标题、外部链接信息及报错信息确定每个所述目标网站的优先级。
可选地,在本实施例中,所述渗透测试装置200还可以包括刷新模块260。
所述刷新模块260用于在渲染接收到的页面文件时,调用预设的脚本文件,对所述页面文件进行刷新,以显示完整的页面。
在本实施例中,关于所述刷新模块260的详细描述可以参考上述内容中对相关步骤的详细描述,在此不再赘述。
综上所述,本发明实施例提供一种渗透测试方法及装置,通过对待测网站进行扫描,获得待测试的多个目标网站。通过所述浏览器300并发地访问每个目标网站,并接收每个目标网站返回的页面文件,渲染并加载接收到的页面文件,对加载后的页面文件截图并保存获得的截图。通过解析得到加载后的页面文件的代码,根据该截图及代码确定每个目标网站的优先级,并按照该优先级对每个目标网站进行渗透测试。如此,能够更加准确可靠地确定待测的目标网站的优先级,进而按照该优先级进行渗透测试。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种渗透测试方法,其特征在于,应用于包括浏览器的电子终端,所述方法包括:
对待测网站进行扫描,获得待测试的多个目标网站;
通过所述浏览器并发地访问每个所述目标网站,并接收每个所述目标网站返回的页面文件;
渲染并加载接收到的页面文件,对加载后的页面文件截图并保存获得的截图;
获取与所述页面文件相关联的代码;
根据所述截图及所述代码确定每个所述目标网站的优先级,并按照所述优先级对每个所述目标网站进行渗透测试。
2.根据权利要求1所述的方法,其特征在于,所述对待测网站进行扫描,获得待测试的多个目标网站的步骤,包括:
扫描待测网站的一级域名,获得该一级域名的多个子域名,并将每个子域名对应的网站作为所述目标网站;
扫描待测网站的IP地址的C段和/或B段,获得与该待测网站相关的多个IP地址,并将每个IP地址对应的网站作为所述目标网站。
3.根据权利要求1或2所述的方法,其特征在于,所述浏览器为无界面的浏览器。
4.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
在渲染接收到的页面文件时,调用预设的脚本文件,对所述页面文件进行刷新,以显示完整的页面。
5.根据权利要求1或2所述的方法,其特征在于,根据所述截图及所述代码确定每个所述目标网站的优先级的步骤,包括:
从所述代码中提取出页面标题、外部链接信息及报错信息;
根据所述截图、页面标题、外部链接及报错信息确定每个所述目标网站的优先级。
6.一种渗透测试装置,其特征在于,应用于包括浏览器的电子终端,所述装置包括:
扫描模块,用于对待测网站进行扫描,获得待测试的多个目标网站;
访问模块,用于通过所述浏览器并发地访问每个所述目标网站,并接收每个所述目标网站返回的页面文件;
加载模块,用于渲染并加载接收到的页面文件,对加载后的页面文件截图并保存获得的截图;
解析模块,用于获取与所述页面文件相关联的代码;
渗透测试模块,用于根据所述截图及所述代码确定每个所述目标网站的优先级,并按照所述优先级对每个所述目标网站进行渗透测试。
7.根据权利要求6所述的装置,其特征在于,所述扫描模块包括:
第一扫描子模块,用于扫描待测网站的一级域名,获得该一级域名的多个子域名,并将每个子域名对应的网站作为所述目标网站;及第二扫描子模块,用于扫描待测网站的IP地址的C段和/或B段,获得与该待测网站相关的多个IP地址,并将每个IP地址对应的网站作为所述目标网站。
8.根据权利要求6或7所述的装置,其特征在于,所述浏览器为无界面的浏览器。
9.根据权利要求6或7所述的装置,其特征在于,所述装置还包括:
刷新模块,用于在渲染接收到的页面文件时,调用预设的脚本文件,对所述页面文件进行刷新,以显示完整的页面。
10.根据权利要求6或7所述的装置,其特征在于,所述渗透测试模块根据所述截图及所述代码确定每个所述目标网站的优先级的方式,包括:
从所述代码中提取出页面标题、外部链接信息及报错信息;
根据所述截图、页面标题、外部链接信息及报错信息确定每个所述目标网站的优先级。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711056066.2A CN107707561B (zh) | 2017-11-01 | 2017-11-01 | 渗透测试方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711056066.2A CN107707561B (zh) | 2017-11-01 | 2017-11-01 | 渗透测试方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107707561A true CN107707561A (zh) | 2018-02-16 |
| CN107707561B CN107707561B (zh) | 2020-05-19 |
Family
ID=61178155
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711056066.2A Active CN107707561B (zh) | 2017-11-01 | 2017-11-01 | 渗透测试方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107707561B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109120643A (zh) * | 2018-10-11 | 2019-01-01 | 北京知道创宇信息技术有限公司 | 渗透测试方法及装置 |
| CN109413054A (zh) * | 2018-10-10 | 2019-03-01 | 四川长虹电器股份有限公司 | 渗透测试辅助***及渗透测试初期的信息收集方法 |
| CN110765333A (zh) * | 2019-08-14 | 2020-02-07 | 奇安信科技集团股份有限公司 | 采集网站信息的方法及装置、存储介质、电子装置 |
| CN111104308A (zh) * | 2019-11-12 | 2020-05-05 | 贝壳技术有限公司 | 显示页面的测试方法和装置、存储介质、电子设备 |
| CN113422777A (zh) * | 2021-06-28 | 2021-09-21 | 安天科技集团股份有限公司 | 基于白名单的渗透测试方法、装置、计算设备及存储介质 |
| CN113886842A (zh) * | 2021-12-02 | 2022-01-04 | 北京华云安信息技术有限公司 | 基于测试的动态智能调度方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050022087A1 (en) * | 2003-02-14 | 2005-01-27 | Ankan Pramanick | Method and system for controlling interchangeable components in a modular test system |
| CN103559235A (zh) * | 2013-10-24 | 2014-02-05 | 中国科学院信息工程研究所 | 一种在线社交网络恶意网页检测识别方法 |
| CN103632100A (zh) * | 2013-11-08 | 2014-03-12 | 北京奇虎科技有限公司 | 一种网站漏洞检测方法及装置 |
| CN103902913A (zh) * | 2012-12-28 | 2014-07-02 | 百度在线网络技术(北京)有限公司 | 一种用于对web应用进行安全处理的方法与设备 |
| CN104156490A (zh) * | 2014-09-01 | 2014-11-19 | 北京奇虎科技有限公司 | 基于文字识别检测可疑钓鱼网页的方法及装置 |
| CN106657096A (zh) * | 2016-12-29 | 2017-05-10 | 北京奇虎科技有限公司 | Web漏洞检测方法、装置及*** |
-
2017
- 2017-11-01 CN CN201711056066.2A patent/CN107707561B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050022087A1 (en) * | 2003-02-14 | 2005-01-27 | Ankan Pramanick | Method and system for controlling interchangeable components in a modular test system |
| CN103902913A (zh) * | 2012-12-28 | 2014-07-02 | 百度在线网络技术(北京)有限公司 | 一种用于对web应用进行安全处理的方法与设备 |
| CN103559235A (zh) * | 2013-10-24 | 2014-02-05 | 中国科学院信息工程研究所 | 一种在线社交网络恶意网页检测识别方法 |
| CN103632100A (zh) * | 2013-11-08 | 2014-03-12 | 北京奇虎科技有限公司 | 一种网站漏洞检测方法及装置 |
| CN104156490A (zh) * | 2014-09-01 | 2014-11-19 | 北京奇虎科技有限公司 | 基于文字识别检测可疑钓鱼网页的方法及装置 |
| CN106657096A (zh) * | 2016-12-29 | 2017-05-10 | 北京奇虎科技有限公司 | Web漏洞检测方法、装置及*** |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109413054A (zh) * | 2018-10-10 | 2019-03-01 | 四川长虹电器股份有限公司 | 渗透测试辅助***及渗透测试初期的信息收集方法 |
| CN109120643A (zh) * | 2018-10-11 | 2019-01-01 | 北京知道创宇信息技术有限公司 | 渗透测试方法及装置 |
| CN109120643B (zh) * | 2018-10-11 | 2020-11-20 | 北京知道创宇信息技术股份有限公司 | 渗透测试方法及装置 |
| CN110765333A (zh) * | 2019-08-14 | 2020-02-07 | 奇安信科技集团股份有限公司 | 采集网站信息的方法及装置、存储介质、电子装置 |
| CN111104308A (zh) * | 2019-11-12 | 2020-05-05 | 贝壳技术有限公司 | 显示页面的测试方法和装置、存储介质、电子设备 |
| CN113422777A (zh) * | 2021-06-28 | 2021-09-21 | 安天科技集团股份有限公司 | 基于白名单的渗透测试方法、装置、计算设备及存储介质 |
| CN113886842A (zh) * | 2021-12-02 | 2022-01-04 | 北京华云安信息技术有限公司 | 基于测试的动态智能调度方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107707561B (zh) | 2020-05-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107707561A (zh) | 渗透测试方法及装置 | |
| US11297094B2 (en) | Automated and continuous cybersecurity assessment with measurement and scoring | |
| US10432662B2 (en) | Method and system for blocking malicious third party site tagging | |
| KR101001132B1 (ko) | 웹 어플리케이션의 취약성 판단 방법 및 시스템 | |
| CN104685510B (zh) | 识别应用程序是否是恶意程序的方法、***及存储介质 | |
| CN104954372A (zh) | 一种钓鱼网站的取证与验证方法及*** | |
| CN107204956B (zh) | 网站识别方法及装置 | |
| CN108256322B (zh) | 安全测试方法、装置、计算机设备和存储介质 | |
| Marforio et al. | Personalized security indicators to detect application phishing attacks in mobile platforms | |
| CN107908959A (zh) | 网站信息检测方法、装置、电子设备及存储介质 | |
| CN104115117A (zh) | 用于安全性测试的单元测试的自动合成 | |
| CN106682489A (zh) | 一种密码安全检测方法、密码安全提示方法及相应装置 | |
| CN105827577A (zh) | 一种信息验证方法及装置 | |
| CN103647678A (zh) | 一种网站漏洞在线验证方法及装置 | |
| CN109672658B (zh) | Json劫持漏洞的检测方法、装置、设备及存储介质 | |
| CN104462983B (zh) | 一种php源代码处理方法及*** | |
| CN111797026A (zh) | 测试用例生成方法、装置、计算机设备及存储介质 | |
| CN104468459B (zh) | 一种漏洞检测方法及装置 | |
| Hawanna et al. | A novel algorithm to detect phishing URLs | |
| CN112019544B (zh) | 网络接口的安全扫描方法、装置及*** | |
| CN106603572B (zh) | 一种基于探针的漏洞检测方法及其装置 | |
| CN104573486A (zh) | 漏洞检测方法和装置 | |
| CN113535577A (zh) | 基于知识图谱的应用测试方法、装置、电子设备和介质 | |
| CN113362173A (zh) | 防重机制验证方法、验证***、电子设备及存储介质 | |
| CN113162937A (zh) | 应用安全自动化检测方法、***、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Room 311501, Unit 1, Building 5, Courtyard 1, Futong East Street, Chaoyang District, Beijing Applicant after: Beijing Zhichuangyu Information Technology Co., Ltd. Address before: Room 803, Jinwei Building, 55 Lanindichang South Road, Haidian District, Beijing Applicant before: Beijing Knows Chuangyu Information Technology Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |