[发明专利]渗透测试方法、装置、设备及存储介质

说明书

本公开涉及一种渗透测试方法、装置、设备及存储介质。获取渗透目标对应的目标信息图谱；对目标信息图谱的各个节点进行攻击点分析，得到目标信息图谱的渗透攻击入口节点；基于渗透攻击入口节点对渗透目标进行渗透测试，得到渗透目标的渗透测试结果。由此，可以基于渗透目标对应的目标信息图谱，自动进行攻击点分析并基于渗透攻击入节点对渗透目标进行测试，从而实现自动化渗透测试，提高了渗透测试的工作效率、降低了技术人员的测试难度。

技术领域

本公开涉及网络安全技术领域，尤其涉及一种渗透测试方法、装置、设备及存储介质。

背景技术

随着互联网技术的发展，网络的应用越来越广泛，网络安全越来越重要。目前，保障网络安全较好的方法是渗透测试。渗透测试是一项在计算机系统上进行的授权模拟攻击，旨在对其安全性进行评估。渗透测试使用与攻击者相同的工具、技术和流程，来查找和展示系统弱点对业务带来的影响。

相关技术中，一般采用手工渗透方式进行渗透测试，也就是依赖测试人员进行渗透测试。然而，手工渗透方法会消耗较大的人力资源，并且测试效率低下，导致无法满足用户的渗透测试需求。

发明内容

为了解决上述技术问题，本公开提供了一种渗透测试方法、装置、设备及存储介质。

第一方面，本公开提供了一种渗透测试方法，该方法包括：

获取渗透目标对应的目标信息图谱；

对所述目标信息图谱的各个节点进行攻击点分析，得到所述目标信息图谱的渗透攻击入口节点；

基于所述渗透攻击入口节点对所述渗透目标进行渗透测试，得到所述渗透目标的渗透测试结果。

在本公开一些实施例中，该方法还包括：

获取所述渗透目标的采集信息，其中，所述采集信息包含多个维度的属性信息；

以所述渗透目标及其对应的属性信息为节点，以所述渗透目标与所述属性信息之间的多个第一关联关系以及不同属性信息之间的多个第二关联关系为边，构成所述目标信息图谱。

在本公开一些实施例中，所述采集信息包括以下一种或者多种组合：暴露面信息、WEB信息、脆弱性信息、敏感信息、配置信息；

所述采集信息属于以下至少一个维度：主机类型、应用类型以及主机服务类型。

在本公开一些实施例中，所述对所述目标信息图谱的各个节点进行攻击点分析，得到所述目标信息图谱的渗透攻击入口节点，包括：

从所述目标信息图谱的各个节点中获取待分析节点；

利用所述待分析节点对应的攻击技术，对所述待分析节点进行攻击点分析，确定所述待分析节点是否存在攻击漏洞；

若所述待分析节点存在攻击漏洞，则将所述待分析节点作为所述目标信息图谱的渗透攻击入口节点。

在本公开一些实施例中，所述待分析节点包括：主机类型节点、基于安全通道协议的服务节点以基于WEB服务的文件上传节点中的至少一个。

在本公开一些实施例中，所述基于所述渗透攻击入口节点对所述渗透目标进行渗透测试，得到所述渗透目标的渗透测试结果，包括：

将所述渗透攻击入口节点作为渗透测试的测试入口，利用所述渗透攻击入口节点关联的攻击条件和攻击方式，对所述渗透目标进行渗透测试，得到所述渗透目标的渗透测试结果。

在本公开一些实施例中，该方法还包括：基于所述渗透目标的渗透测试结果，生成所述渗透测试报告并显示。

第二方面，本公开提供了一种渗透测试装置，该装置包括：

获取模块，用于获取渗透目标对应的目标信息图谱；