[发明专利]一种攻击载荷生成方法及系统

说明书

本申请涉及计算机技术领域，尤其涉及一种攻击载荷生成方法及系统。其方法包括以下步骤：获取模糊测试引擎可识别文本中的模糊测试标签，所述模糊测试标签包括至少两个；识别所述模糊测试标签中的普通标签和编码标签；根据所述普通标签获取攻击载荷的攻击载荷信息，所述攻击载荷用于建立目标机与攻击机之间的稳定连接；根据所述编码标签对所述攻击载荷信息进行编码，生成攻击载荷。本申请提供的一种攻击载荷生成方法及系统具有批量自动生成攻击载荷的效果。

技术领域

本申请涉及计算机技术领域，尤其是涉及一种攻击载荷生成方法及系统。

背景技术

随着网络应用的普及，网络应用的形式也越来越多，它们通常包含很多页面，而在这些页面中包含了利用某种编程语言来写成的服务器端脚本，这些脚本作用于网络页面来与用户进行交互。因此，对网络应用中的漏洞挖掘变得越来越重要，在漏洞挖掘的过程中，需要对不同的网络资源使用不同的payload（攻击载荷）进行漏洞挖掘。

目前，国内常用的payload（攻击载荷）生成主要是根据规则进行手工编写，而且网络资源的漏洞会根据目标资源的不同而变化，在漏洞挖掘的过程中需要安全检测人员针对不同类型的漏洞进行不同种类payload（攻击载荷）的编写，从而加大了安全检测人员的编写工作量。

发明内容

为了减少payload（攻击载荷）编写的工作量，本申请提供一种攻击载荷生成方法及系统。

第一方面，本申请提供一种攻击载荷生成方法，包括以下步骤：

获取模糊测试引擎可识别文本中的模糊测试标签，所述模糊测试标签包括至少两个；

识别所述模糊测试标签中的普通标签和编码标签；

根据所述普通标签获取攻击载荷的攻击载荷信息，所述攻击载荷用于建立目标机与攻击机之间的稳定连接；

根据所述编码标签对所述攻击载荷信息进行编码，生成攻击载荷。

通过采用上述技术方案，根据普通标签解析获取攻击载荷的攻击载荷信息，通过对编码标签进行解析得到不同种类型的编码规则，基于不同种类型的编码规则对攻击载荷的攻击载荷信息进行特定编码，进而生成多种攻击载荷，多种攻击载荷发送到服务器将会产生不同的效果，从而，减少了攻击载荷编写的工作量。

可选的，所述根据所述普通标签获取攻击载荷的攻击载荷信息包括以下步骤：

判断所述普通标签是否包含所述攻击载荷的数据库存储索引；

若包含，则根据所述数据库存储索引从数据库获取得到所述攻击载荷的攻击载荷信息；

若不包含，则解析所述普通标签得到攻击载荷参数，并通过预设攻击载荷变形规则对所述攻击载荷参数进行处理，得到攻击载荷信息。

可选的，所述根据所述数据库存储索引从数据库获取得到所述攻击载荷的攻击载荷信息包括以下步骤：

解析所述数据库存储索引得到标签参数及所述攻击载荷的信息存储地址；

根据所述标签参数获取所述攻击载荷的信息存储地址中存储的攻击载荷信息。

通过采用上述技术方案，根据所述攻击载荷的信息存储地址可以获取攻击载荷的信息存储路径，通过解析标签参数可以确定需要获取的目标攻击载荷的信息。

可选的，所述根据所述编码标签对所述攻击载荷信息进行编码，生成攻击载荷包括以下步骤：

解析所述编码标签得到编码规则信息；

根据所述编码规则信息确定编码规则；

利用所述编码规则对所述攻击载荷信息进行编码，生成攻击载荷。

通过采用上述技术方案，根据解析编码标签可以得到对应的编码规则信息，所述编码规则信息中含有多种编码规则，根据所述多种编码规则对攻击载荷信息进行特定编码，从而可以批量生成攻击载荷。