[发明专利]一种漏洞自动化利用方法以及系统

说明书

本发明公开了一种漏洞自动化利用方法以及系统，属于漏洞识别技术领域。现有的漏洞自动化利用方案，渗透测试工作效率低，漏洞识别准确率低，无法对渗透的目标系统进行漏洞点的快速识别和验证。本发明提供一种双级渗透策略，首先对目标系统进行全面的信息收集和可疑漏洞探测，形成初步的渗透测试攻击面结果，然后对攻击面进行漏洞利用库匹配，执行匹配到的漏洞然后执行漏洞利用，提高渗透测试工作效率；采用Python动态加载函数的技术，利用插件形式提供不同类型的漏洞扫描工具集成，以提高漏洞识别准确率；最终实现对渗透的目标系统漏洞点的快速识别和验证，方案详细，切实可行。

技术领域

本发明涉及一种漏洞自动化利用方法以及系统，属于漏洞识别技术领域。

背景技术

随着信息化技术的飞速发展，越来越多的传统企业对信息化建设也逐渐重视。在信息化系统建设初期很多时候没有考虑到安全问题，在后期的安全防护中，虽然有很多安全设备的支撑，但是业务系统中仍然会存在很多漏洞，这些漏洞就需要通过渗透测试的手段来发现。

但是现有的漏洞自动化利用系统，渗透测试工作效率低，漏洞识别准确率低，无法对渗透的目标系统进行漏洞点的快速识别和验证。

发明内容

针对现有技术的缺陷，本发明的目的在于提供一种双级渗透策略，首先对目标系统进行全面的信息收集和可疑漏洞探测，形成初步的渗透测试攻击面结果，然后对攻击面进行漏洞利用库匹配，执行匹配到的漏洞然后执行漏洞利用，提高渗透测试工作效率；同时采用全局信息收集结果表，提高漏洞扫描的程序扫描范围的精度，使扫描结果覆盖更加完整；采用Python动态加载函数的技术，利用插件形式提供不同类型的漏洞扫描工具集成，以提高漏洞识别准确率；最终实现对渗透的目标系统漏洞点的快速识别和验证的漏洞自动化利用方法以及系统。

为实现上述目的，本发明的技术方案为：

一种漏洞自动化利用方法， 包括以下步骤：

第一步：建立信息收集结果表，该表采用全局信息共享的形式，能够在整体的漏洞自动化检测利用过程中进行信息的获取，提高了信息重复利用率；

通过设计信息收集结果表能够提高漏洞扫描的程序扫描范围的精度，使扫描结果覆盖更加完整；

第二步：对目标系统进行全面的信息收集和可疑漏洞探测，形成初步的渗透测试攻击面结果；

第三步：建立漏洞库，对攻击面进行漏洞库匹配，执行匹配到的漏洞；

所述漏洞库保存各类隐患和漏洞信息；通过收集到的信息对目标系统组件和漏洞库进行漏洞信息匹配，以获得目标系统可能存在的漏洞，以提高漏洞扫描效率；

第四步：采用Python动态加载函数的技术，利用插件形式提供不同类型的漏洞扫描工具集成，以提高漏洞识别准确率；

第五步：建立漏洞利用库，保存当前支持的漏洞利用信息，用于匹配模块进行漏洞利用信息查询，然后执行漏洞利用；

第六步：对利用结果进行保存，将多种不同的工具输出信息进行汇总；呈现在报告中，查看具体能够执行成功的漏洞。

本发明提供一种双级渗透策略，首先对目标系统进行全面的信息收集和可疑漏洞探测，形成初步的渗透测试攻击面结果，然后对攻击面进行漏洞利用库匹配，执行匹配到的漏洞然后执行漏洞利用，提高渗透测试工作效率；同时采用全局信息收集结果表，提高漏洞扫描的程序扫描范围的精度，使扫描结果覆盖更加完整；采用Python动态加载函数的技术，利用插件形式提供不同类型的漏洞扫描工具集成，以提高漏洞识别准确率；最终实现对渗透的目标系统漏洞点的快速识别和验证，方案详细，切实可行。

一种漏洞自动化利用系统，应用上述漏洞自动化利用方法，其包括主控制台、协控制台、信息收集结果表、漏洞扫描模块、漏洞扫描插件、漏洞库、漏洞利用库、报表生成器；