[发明专利]渗透测试方法及装置

说明书

本发明提供一种渗透测试方法及装置，应用于包括浏览器的电子终端。方法包括：对待测网站进行扫描，获得待测试的多个目标网站；通过所述浏览器并发地访问每个目标网站，并接收每个目标网站返回的页面文件；渲染并加载接收到的页面文件，对加载后的页面文件截图并保存获得的截图；解析得到加载后的页面文件的代码；根据截图及代码确定每个目标网站的优先级，并按照该优先级对每个目标网站进行渗透测试。如此，可以更加准确可靠地确定待测的目标网站的优先级，进而按照该优先级进行渗透测试。

技术领域

本发明涉及计算机网络技术领域，具体而言，涉及一种渗透测试方法及装置。

背景技术

渗透测试(Penetration Test)是通过模拟恶意黑客的攻击方法来评估计算机网络系统安全的一种评估方法。在渗透测试中，需要测试的目标通常不止一个域名或网站，而是许许多多与疑似有漏洞的待测网站相关的网站。虽然目前有许多Web漏洞扫描器可以用于进行渗透测试，但其测试效果往往不佳，因此，人工渗透测试仍旧是必不可少的。尤其是一些业务逻辑上的漏洞，Web漏洞扫描器通常难以扫描到。

然而，面对大量的待测试目标，在测试过程中如何确定各个待测试目标的优先级，从而按照该优先级进行测试，以提高测试效率，显得尤其重要。

发明内容

有鉴于此，本发明的目的在于提供一种渗透测试方法，应用于包括浏览器的电子终端，所述方法包括：

对待测网站进行扫描，获得待测试的多个目标网站；

通过所述浏览器并发地访问每个所述目标网站，并接收每个所述目标网站返回的页面文件；

渲染并加载接收到的页面文件，对加载后的页面文件截图并保存获得的截图；

获取与所述页面文件相关联的代码；

根据所述截图及所述代码确定每个所述目标网站的优先级，并按照所述优先级对每个所述目标网站进行渗透测试。

可选地，所述对待测网站进行扫描，获得待测试的多个目标网站的步骤，包括：

扫描待测网站的一级域名，获得该一级域名的多个子域名，并将每个子域名对应的网站作为所述目标网站；及

扫描待测网站的IP地址的C段和/或B段，获得与该待测网站相关的多个IP地址，并将每个IP地址对应的网站作为所述目标网站。

可选地，所述浏览器为无界面的浏览器。

可选地，所述方法还包括：

在渲染接收到的页面文件时，调用预设的脚本文件，对所述页面文件进行刷新，以显示完整的页面。

可选地，根据所述截图及所述代码确定每个所述目标网站的优先级的步骤，包括：

从所述代码中提取出页面标题、外部链接信息及报错信息；

根据所述截图、页面标题、外部链接及报错信息确定每个所述目标网站的优先级。

本发明的另一目的在于提供一种渗透测试装置，应用于包括浏览器的电子终端，所述装置包括：

扫描模块，用于对待测网站进行扫描，获得待测试的多个目标网站；

访问模块，用于通过所述浏览器并发地访问每个所述目标网站，并接收每个所述目标网站返回的页面文件；

加载模块，用于渲染并加载接收到的页面文件，对加载后的页面文件截图并保存获得的截图；

解析模块，用于获取与所述页面文件相关联的代码；

渗透测试模块，用于根据所述截图及所述代码确定每个所述目标网站的优先级，并按照所述优先级对每个所述目标网站进行渗透测试。